Category Archives: Sicherheit

Dann sperre ich Ihre Cehh Ihhh Deee Errr!!!!

Es gibt User, da kann man nur noch mit dem Kopf schütteln. Gerade eben erhielt ich einen Anruf eines Webmasters, der uns damit gedroht hat unseren Ceeh Ihh Dee Err zu sperren (CIDR – IPv4 Notationsweise…)

Abgesehen davon, dass es für einen normalen User unmöglich ist einen kompletten Prefix in den globalen Routingtables einfach so zu löschen scheint dieser renitente User noch davon auszugehen, dass andere Menschen sich nicht im Internet auskennen – muss ja klar sein, woher sonst würden wir auch VPS Hosting anbieten?

Weil einer unserer Kunden wohl einen kompromitierten Server hat und dieser das System des “Webmasters” attackiert hatte, erfolgte ein Ticket an unsere Abuse Adresse welches gestern gegen 2:00 Uhr Nachts einging. Das war aber wohl nicht der einzige User, wir haben zu diesem Vorfall ca. 1200 Mails erhalten. Dem Webmaster, der anscheinend hellsehen kann meinte wir müssen unbedingt fail2ban    (die haben selbst ein SPAM Problem: “Since spammers were way too much active on this wiki, user account creation has been disabled. Please, ask on the mailing-lists if you require a new user account. Thank you for your understanding and sorry about that.“)

installieren, dann könne das nicht mehr passieren – gute Nacht!

Wenn das wirklich das Niveau von anderen Webmastern im Netz repräsentieren sollte, werde ich zum Gärtner umschulen! Abgesehen davon, was soll es denn bringen bei den Hostern anzurufen, wenn man schon gemailt hat? Damit alles noch länger dauert, wenn der Admin die ganze Zeit am Telefon rumhängt und sich mit DAUs rumärgern muss?! Grr.. Ist heute etwa MONTAG?!

Owncloud auf einem smart-kvm.com KVM Server

Immer wieder liest oder hört man von diversen Medien, dass man doch seine Daten in die Cloud verlagern soll oder kann, um diese global verfügbar zu halten. Prinzipiell ist dies ja eine gute Idee, denkt man diesen Gedanken jedoch zuende so muss man schon feststellen dass man hierbei viel falsch machen kann. Bevor man seine Daten jedoch in die Hände eines Cloudanbieters gibt, sollte man sich zuerst überlegen, wie man diese Daten entsprechend schützen kann. Größere Cloudanbieter wie Amazon EC oder Google Drive bieten einen relativ leichten Zugang zu Cloudspeicher und Cloudservices, speichern die Daten jedoch nicht in Deutschland sondern im Ausland. Was letztlich mit den Daten passiert kann man als User nicht feststellen.

Eine bessere Lösung ist es z.B., Owncloud auf einem eigenen Server zu betreiben, den man sich z.B. bei einem Cloud Server Anbieter oder VServer Anbieter zulegen kann. Auch hier muss man sich darüber im Klaren sein, dass der Hosting Anbieter prinzipiell Zugriff auf die Daten hat, und dass diese eigentlich bei den meisten Standardinstallationen ungeschützt auf dem Server des Anbieters gespeichert werden. Wer sich jedoch absolut sicher sein möchte, dass seine Daten geschützt sind muss daher etwas mehr Aufwand betreiben. Ich habe daher hier mal einen kleinen Leitfaden erstellt, mit dem man sich eine verschlüsselte Owncloud Installation auf seinem Server bei smart-kvm.com einrichten kann. Dieser Leitfaden gilt natürlich analog für jeden beliebigen Server Anbieter, sofern man die Möglichkeit hat das System selbst einzurichten.

Zuerst bei www.smart-kvm.com den passenden Server konfigurieren – die Hardware kann später immer noch angepasst werden und es können jederzeit weitere Ressourcen hinzugebucht werden. Die Server werden bei smart-kvm.com in Echtzeit bereitgestellt, normalerweise ist der Server wenige Sekunden nach Benutzerregistrierung verfügbar. Wir gehen hier nun im Webinterface in das entsprechende Bootmenü des smart-kvm.com cloud servers, übernehmen die Option um von CD zu booten und wählen unser bevorzugtes Betriebssystem aus. Ich habe hier nun Debian Wheezy verwendet, möglich wäre auch CentOS, Redhat EL, SuSE Linux oder Ubuntu. Eine Lister der Unterstützen Distributionen gibt es hier: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud

Bei der Installation des Betriebssystems ist unbedingt darauf zu achten, dass die komplette Installation verschlüsselt ist und der Server vor dem Boot bereits ein Passwort zur Entschlüsselung verlangt. Nur so ist sichergestellt, dass auch der Hosting-Anbieter keinen Zugriff auf die Daten erhält. Wer unbedingt will, kann auch die Owncloud auf einem Windows Server installieren – hierbei ist dann darauf zu achten dass zumindest der Datenbereich der Owncloud Installation verschlüsselt gespeichert wird. Es gibt ausserdem noch Owncloud Apps, die ebenfalls die Daten verschlüsseln können. Hier kann man dann aber dennoch sehen, welche User angelegt wurden etc. Es empfiehlt sich daher, den kompletten Server zu verschlüsseln.

Anschliessend kann man seine Owncloud Installation ganz normal administrieren, die Daten sollten nun vor Zugriffen von Dritten geschützt sein.

Suspekte RBLs – Barracuda Central / Barracuda Reputation System

Als ich heute versucht habe, eine Mail an einen unserer Kunden zu schicken, staunte ich nicht schlecht als die Mail gebounced wurde. Unsere Mailserver seien angeblich SPAM-Schleudern und wurden mittel Barracuda Reputation geblockt. Folgt man dem angegebenen Link, kann man dann eine Anfrage stellen, den Mailserver aus der RBL entfernen zu lassen – das dauert dann (angeblich) bis zu 12 Stunden. Alternativ kann man sich bei emailreg.org einen Account anlegen um dort die IPs des Mailservers auf eine Whitelist setzen zu lassen – dass das Ganze dann 20 US $ Kosten soll, erfährt man erst wenn man sich einen Account angelegt hat – eine Unverschämtheit wie ich finde.

Dazu kommt noch dass der Aufwand die Mailserver dort aus deren RBL zu delisten bei einem Cluster mit vielen Mailservern enorm steigen kann. Man muss sich ja immer durch irgendwelche Forms mit Captchas durchhangeln – auf ein Feedback seitens Baracuda Central wartet man wohl vergeblich.

Ich kann nicht nachvollziehen, warum einige Mailserver-Admins der Meinung sind, dieses perverse System unterstützen zu müssen. Der Ärger mit Kunden die keine Mails zustellen können und der Aufwand whitelists zu Pflegen stehen doch in diesem Falle in keinem Verhältnis mehr. Dazu kommt noch, dass sich SPAM auch sehr effizient mit den üblichen Opensource-Lösungen wie dspam, spamassassin, diversen Filterlisten wie SpamCop und Spamhaus, amavisd, Greylisting etc filtern lässt.

Aber eine gute Geschäftsidee wäre es schon, einfach mal eine Blacklist aufzubauen, alles erst mal zu Blacklisten, für das Whitelisting Geld zu verlangen und dann irgendwelche Marketingmenschen in größeren Unternehmen dieses System als innovativ zu verkaufen und nochmals die Hand aufzuhalten. Dieser Gedanke könnte einem zumindest in den Sinn kommen, liest man sich diverse Foren im Netz durch.

Einfach nur frustrierend…

UPDATE:

http://packetstormsecurity.org/papers/evaluation/Barracuda_Evil.txt bestätigt meinen Verdacht, dass das Barracuda Zeug einfach nur Müll ist…

Googles DNS Services kritisch betrachtet

Seit ein paar Tagen bietet Google öffntliche DNS Recurser für jedermann an. Behauptet wird zudem, dass Googles DNS Services schneller seien als die vom ISP zugeteilten DNS Server. Ich kann dazu nur sagen, dass ich persönlich es für einen großen Fehler halte, die DNS Server von Google zu verwenden, denn zum einen kann man nicht wissen, was Google mit den DNS Anfragen der User so treibt (damit lässt sich zumindest leicht nachvollziehen, auf welche Seiten ein User so surft), zum anderen wage ich es zu bezweifeln, dass Googles DNS Server wirklich schneller sind als z.B. ein lokal laufender Nameserver auf einem Router, bzw die Nameserver welche der ISP selbst vorgibt. Hier kann man zwar auch nicht wissen, ob seitens des ISP gefiltert wird, aber wenn man sich in dieser Hinsicht gedanken macht, bleibt einem sowieso nur das Betreiben eigener Nameserver und Recursor.

Ein Test mit Namebench bestätigt, dass lokale Nameserver nicht langsamer sind als die von Google angepriesenen Services. Vereinzelt ist Google schneller, da Google natürlich sämtliche Anfragen von Usern cachen kann, während man lokal jedoch meist nicht so viele Seiten besucht und die Wahrscheinlichkeit eines Cachelookups dadurch natürlich sinkt.

Aus Datenschutzgründen sollte man die Nameserver von Google meiner Meinung nach nicht verwenden, selbst wenn ein Lookup 20ms schneller erfolgen sollte, als mit einem vom ISP zugewiesen Nameserver – diese 20ms fallen beim Surfen meist sowieso nicht auf.

Hier nochmal die Auswertung von Namebench für meinen lokalen Nameserver, meinen Nameserver in unserem RZ in Nürnberg sowie als Vergleich Googles Nameserver:

http://www.netz-guru.de/downloads/namebench_2009-12-05_2018.html

Es erscheint auch logisch, warum der lokale Nameserver schneller Antworten kann als ein Nameserver aus einem entfernten Netz – das liegt einfach an den Latenzen der Paketlaufzeiten zu den einezelnen Servern. Lokal hat man hier meist unter 0,1ms, während es bei DSL mindestens 10-20ms dauert, vorrausgesetzt das ist der Nameserver des ISP. Zu Googles Nameserver habe ich schon mal allein 110ms Latenz – da ist der eigentliche Request und die Zeit die das dauert bis ich eine Response bekomme noch nicht mitgerechnet.

Fazit: Finger weg von Googles DNS Services!

postfix policyd 1.80 und mysql ndb cluster als backend patch

Wer den postfix-policyd auf einem Mailserver Cluster einsetzen möchte, der bekommt zumindest mit einer Mysql-Cluster-Datenbank als Backend Probleme, denn NDBCluster unterstüzt kein “Insert delayed” Syntax.

Deshalb hier ein kleiner Patch, der den aktuellen source von debian lenny (postfix-policyd-1.80) patched, damit postfix-policyd keine delayed inserts mehr macht und einwandfrei mit Mysql-NDB-Cluster funktioniert.

postfix-policyd-1.80_mysqlndb.patch

Installiert wird das Ganze mit:

apt-get source postfix-policyd

wget http://www.netz-guru.de/wp-content/uploads/2009/08/postfix-policyd-1.80_mysqlndb.patch.txt

patch -p0 <postfix-policyd-1.80_mysqlndb.patch.txt

cd postfix-policyd-1.80

dpkg-buildpackage  -uc -b

Internet Zensur und Internet Sperren des DNS in Deutschland umgehen

Am Freitag, den 17.04.2009 war es dann soweit. Die fünf größten Internet-Provider in Deutschland (www.t-online.de, www.arcor.de / www.vodafone.de, www.alice.de, www.kabel-deutschland.de und www.o2online.de / www.telefonica.de) haben einen Vertrag mit dem BKA unterzeichnet, in dem sie sich dazu bereit erklären, vom BKA gelieferte Listen von Domains über DNS-basierte Filter zu sperren.

Abgesehen davon, dass die Sperren an sich schon fraglich sind, da die Sperren gegen Artikel 5 GG verstossen, in dem es ausdrücklich heisst:

“(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.

haben die Sperren auch nicht die Wirkung, Kinderpornographie zu unterbinden, Kindesmisshandlungen oder Vergewaltigung zu verhindern, oder in sonst irgend einer Weise etwas auszurichten, außer dem BKA die Möglichkeit zu geben, willkürlich Seiten im Internet zu filtern. Willkürlich deshalb, weil diese Filterlisten “geheim” gehalten werden sollen, und weil es keine Möglichkeit der Kontrolle durch die Öffentlichkeit gibt. So können ebenfalls Webseiten unliebsamer Kritiker oder politischer Gegner gefiltert werden, ohne dass hierbei eine regulierende Instanz notfalls einschreiten könnte. Außerdem stellt sich die Frage, ob es nicht an sich schon strafbar ist, dass das BKA eine solche Liste weitergibt.

Was einem auch zu Denken geben sollte ist der Umstand, dass wenn eben eine solche Liste existiert auf der Webseiten erfasst sind, welche strafrechtlich relevantes Material verbreiten, warum denn dann die Strafverfolgungsbehörden nicht einfach die Provider anschreiben, in letzter Instanz die Server beschlagnahmen und den Geldfluss zu den eigentlichen Tätern zurückverfolgen.

Weiterhin ist es problematisch, über das DNS zu filtern, wenn man sich folgendes Szenario einmal vorstellt:

Angenommen, man möchte einen Konkurrenten im Internet ausschalten – man bräuchte nur einige anfällige Nameserver mittels DNS-Cache Poisoning mit IP-Adressen von Webseiten füttern, welche strafrechtlich relevantes Material anbieten und dann entweder abwarten, bis die Domain des Konkurrenten auf der Sperrliste des BKA landet, oder eben selbst nachhelfen, in dem man anonym die entsprechende Seite meldet.

Abgesehen davon ist es ein leichtes, die DNS Sperren der Provider zu umgehen:

  • Man suche sich im Internet Nameserver, welcher keiner Zensur unterliegen, z.b. die Nameserver von OpenDNS (208.67.222.222 und 208.67.220.220)
  • Man trage die Nameserver in die Netzwerkeinstellungen seines lokalen Rechners oder Router ein. (Bei Windows XP: Start -> Einstellungene -> Netzwerkverbindungen -> Lanverbindung -> rechtsklick Eigenschaften -> Internetprotokoll (TCP/IP) -> Folgende DNS Server verwenden)
  • Alternativ dazu, VPNs oder Anonymizer wie the onio router (TOR),  JAP, oder eine Kombination von beidem.

Bei einem reinen DNS Filter reicht es aus, Nameserver zu verwenden, die eben nicht gefiltert werden und keiner Blacklist unterliegen. Gefilterte IPs aus dem Ausland kann man meist mittels einem VPN oder Anonymizern wie TOR erreichen, wenn der Endpunkt der Verbindung eben nicht mehr gefiltert wird.

Das war es schon – ich würde fast sagen, jeder halbwegs intelligente Mensch schafft es innerhalb von weniger als 10 Minuten die Nameserver zu ändern. Das Filtern an sich geht völlig am Problem des Kindsmissbrauchs vorbei und ist in meinen Augen einfach nur ein trojanisches Pferd um die Gesellschaft langsam an Internetfilter zu gewöhnen und kritisch Denkende oder der Politik Unliebsame aus dem Netz zu verbannen, damit diese keinen weiteren “Schaden” anrichten können. Weitere heiße Luft von diversen Politikern (und entsprechende Kommentare von denkenden Individuen) kann man hier finden:

Alles in allem finde ich es mehr und mehr befremdlich, was in diesem Land so alles geschieht. Auf der einen Seite wird nach mehr Datenschutz und Datensicherheit gerufen (man denke an die zig Affairen Lidl, T-Com, Müller, etc..) – auf der anderen Seite werden Filterlisten etabliert um die User von angeblicher Kinderpornographie abzuhalten. Offensichtlich haben wir keine wichtigeren Probleme – die Umwelt, die Umverteilung von Ressourcen, Krankheiten, Energiegewinnung sind eben nicht so wichtig wie den Bürger unter Kontrolle zu halten…

Shops, Viren und Kuchen – oder: Vorträge beim IGZ Hof

Das IGZ feiert 10-jähriges

Am 31.07.2008 feierte das IGZ Hof sein zehnjähriges Bestehen und lud zur Jubiläumsfeier ein. Es fanden über 20 Fachvorträge über Internet, Marketing und E-Bussiness statt, von denen ich selbst 2 Vorträge abgehalten habe.

Der erste Vortrag den ich gehalten habe hatte den Titel “Bestellvorgänge in Online Shops verbessern”, der zweite Vortrag ging um die neuesten Bedrohungen im Internet. Trotz der Hitze und des schönen Wetters war das Event gut besucht und es waren viele Vertreter aus allen Bereichen anwesend. Aus diesem Anlass möchte ich hier kurz meine beiden Vorträge resümieren.
Continue reading Shops, Viren und Kuchen – oder: Vorträge beim IGZ Hof

Warum es ein No-No ist, bei produktiven Server _kein_ RAID zu verwenden

Der Grund warum ich diesen Post schreibe ist folgender: Ein Kunde ordert einen Root-Server bei uns. Soweit so gut. Das System ist recht flott, hat zwei identische Platten drin und wird von uns mit frisch installiertem Gentoo ausgeliefert.

Natürlich richten wir solche Server, sofern kein Hardware RAID integriert ist, mit Software RAID1 mit dem Linux md-device Driver ein. Dies hat den Vorteil, dass zum einen die Swap-Partition auf einem RAID1 Device läuft und somit das System nicht abstürzt, wenn die Swap-Partition defekte Blöcke aufweisst, zum anderen hat es den Vorteil, dass man generell vor dem Ausfall einer Disk und dem einhergehenden Datenverlust gefeit ist.
Continue reading Warum es ein No-No ist, bei produktiven Server _kein_ RAID zu verwenden

Kritische Sicherheitslücke in Joomla 1.0.15 behoben

Seit gestern ist die Version 1.0.15 von joomla veröffentlicht worden, welche eine kritische Schwachstelle behebt die bis einschliesslich 1.0.14 funktioniert, mit der remote eingeschleuster PHP Code ausgeführt werden konnte.

Es wird daher dringend empfohlen, ein Backup des CMS anzufertigen und umgehend die neue Version einzuspielen, um Angreifern kein Ziel mehr zu bieten.

Weitere Informationen und Patch-Pakete gibt es direkt auf www.joomla.org