seeseekey.net - Invictus Deus Ex Machina

Bei KeePassX und 1Password handelt es sich um Passwortmanager mit welchem man die unterschiedlichsten Passwörter sinnvoll verwalten kann. KeePassX ist dabei eine Mac Variante des freien Passwortmanagers KeePass. Möchte man die Daten von KeePassX zu 1Password importieren, steht man vor dem Problem das die aktuelle Version 2 keine Exportfunktionen unterstützt.

1Password unter Mac OS X

Als Abhilfe kann man KeePass 2 nutzen und die Daten mit diesem in das KeePass XML Format exportieren. Der nächste Schritt besteht darin die entsprechende Konverterapplikation herunterzuladen. Diesen Konverter muss nach dem Download mit der exportieren XML-Datei gefüttert werden:

/usr/bin/perl5.16 convert_to_1p4.pl keepass2 -v /Users/seeseekey/Desktop/passwords.xml

Der Konverter erzeugt im gleichen Ordner eine 1P4_import.1pif–Datei als Ergebnis. Diese wiederum kann in 1Password importiert werden. Der direkte Aufruf der systemeigenen Perl-Installation verhindert das es zu Fehlern wie diesem kommt:

Can't locate Date/Calc.pm in @INC (@INC contains: /opt/local/lib/perl5/site_perl/5.16.3/darwin-thread-multi-2level /opt/local/lib/perl5/site_perl/5.16.3 /opt/local/lib/perl5/vendor_perl/5.16.3/darwin-thread-multi-2level /opt/local/lib/perl5/vendor_perl/5.16.3 /opt/local/lib/perl5/5.16.3/darwin-thread-multi-2level /opt/local/lib/perl5/5.16.3 /opt/local/lib/perl5/site_perl /opt/local/lib/perl5/vendor_perl .) at Utils/PIF.pm line 18.

In einem solchen Fall nutzt das System bei Eingabe des Kommandos perl eine alternative Version wie sie z.B. von MacPorts bereitgestellt wird.

Mit einer Zwei-Faktor-Authentifizierung ist ein Account im Falle eines Passwortverlustes geschützt, da ein zweiter Faktor benötigt wird. Auch GitHub unterstützt seit einiger Zeit eine solche Authentifizierung. Auf der entsprechenden Nutzerseite findet man den Punkt Enable two-factor authentification.

GitHub unterstützt zwei Varianten der Zwei-Faktor-Authentifizierung

Nachdem diese Option ausgewählt wurde, muss sich entschieden werden, ob man die Authentifizierung per SMS oder entsprechender Authentifizierungsapp, wie dem Google Authenticator, einrichten möchte.

Preis: Kostenlos
Preis: Kostenlos

Bei der Einrichtung muss ein Sicherheitscode (nach der Einrichtung der App, bzw. per SMS zugesendet) eingeben werden, um die Zwei-Faktor-Authentifizierung zu aktivieren. Danach werden Recovery-Codes von GitHub angezeigt, welche unbedingt gesichert werden sollten, da mit diesen auch bei Verlust des Authentifizierungsgerätes ein Zugriff auf das GitHub-Konto erhält.

Beim sogenannten Certificate pinning werden Zertifikate, welche für die Verschlüsselung von Webseiten und anderen Diensten genutzt werden, lokal gespeichert. Dies hat den Vorteil, das dass Zertifikat nicht einfach unbemerkt durch ein anderes Zertifikat ausgetauscht werden kann und erschwert damit das abhören von SSL/TLS-Verbindungen.

Preis: Kostenlos

Leider ist diese Funktionalität in den gängigen Browsern nicht vorhanden. Mit dem Firefox-AddOn Certificate Patrol kann man ein solches Certificate pinning im Browser nachrüsten. Zertifikate müssen dabei einmalig akzeptiert werden — anschließend wird man informiert, wenn sich das Zertifikat ändert. Damit ist es für einen Angreifer wesentlich schwieriger geworden, dem Nutzer falsche Zertifikate unterzuschieben.

Viele Entwickler würden ihre Anwendungen so entwickeln, das sie möglichst sicher sind. Das Problem ist, das den meisten Entwicklern das notwendige Wissen fehlt. Genau hier setzt das Open Web Application Security Project kurz OWASP an. In der Eigenbeschreibung des Projektes sieht es so aus:

The Open Web Application Security Project (OWASP) is a 501©(3) worldwide not-for-profit charitable organization focused on improving the security of software. Our mission is to make software security visible, so that individuals and organizations worldwide can make informed decisions about true software security risks.

Um das Wissen zu vermitteln, betreibt das Projekt eine Wiki unter owasp.org. In dieser Wiki sind profunde Informationen zu häufigen Sicherheitsproblemen zu finden. Auch bietet die Seite eine Reihe von Cheat Sheets welche bestimmte Probleme gezielt angehen und dem Entwickler helfen eine bestimmte Anforderung z.B. Authentifikation richtig zu implementieren.

Exploits (also ein Stück Quellcode zum Ausnutzen einer Schwachstelle) gibt es wie Sand am Meer. Manchmal möchte man sich einen solchen für eine bestimmte Anwendung anschauen und testen. An diesem Punkt kommt die Exploit Database ins Spiel, welche sich selbst so beschreibt:

The Exploit Database (EDB) – an ultimate archive of exploits and vulnerable software. A great resource for penetration testers, vulnerability researchers, and security addicts alike. Our aim is to collect exploits from submittals and mailing lists and concentrate them in one, easy to navigate database.

Zur Zeit archiviert die Exploit Database über 30.000 unterschiedliche Exploits. Die Exploits auf der Seite sind nach Kategorien sortiert und können auch durchsucht werden. Betrieben wird die Seite dabei von der Firma Offensive Security, welche unter anderem für die Entwicklung von Kali Linux verantwortlich ist.

exploit-db.com

Neben der offiziellen Seite ist die Exploit Database auch auf Twitter und Facebook zu finden.

Wenn man sich bei einem Webdienst anmeldet, so geschieht das meist mittels eines Passwortes. Das Problem an dieser Art von Authentifizierung ist das man nur mit Hilfe des Passwortes einen Account übernehmen kann. Bei der Zwei-Faktor-Authentifizierung läuft das ganze etwas anders. Hier bekommt der Nutzer zusätzlich noch ein Token oder muss sich mittels einer TAN oder seinem Fingerabdruck identifizieren.

twofactorauth.org

Viele bekannte Webdienste bieten diese Möglichkeit der Authentifizierung mittlerweile an. Meist bekommt man eine SMS mit dem Code, oder nutzt einen Generator auf seinem Smartphone. Wenn man sich informieren möchte, ob der gewünschte Webdienst eine Zwei-Faktor-Authentifizierung unterstützt, so sollte man twofactorauth.org besuchen. Auf der Webseite ist übersichtlich dargestellt welche Dienste eine solche Authentifizierung anbieten und welche es planen. Auch ist es möglich dem Dienst direkt mitzuteilen, das man sich eine Zwei-Faktor-Authentifizierung wünscht.

Das schöne an einem XMPP-Server ist die Tatsache das man ihn relativ einfach aufsetzen kann. Wenn er dann funktionstüchtig ist, stellt man sich nicht selten die Frage, wie sicher das ganze konfiguriert ist. Hier hilft das IM Observatorymit seiner Webseite.

Eine Auswertung des IM Observatory

Dort gibt man die URL zum XMPP-Server ein und anschließend wird dieser einigen Tests unterzogen. Nach Ablauf des Tests bekommt man eine Note von A bis F zugewiesen, wobei F das schlechteste Ergebnis darstellt. Daneben bekommt man detailliert aufgelistet welche sicherheitsrelevanten Features aktiv sind.

Mails verschlüsselt mit GnuPG zu verschicken, ist unter den Desktop-Betriebssystemen, wie Windows, Linux oder Mac OS X kein Problem. Schwieriger wird es unter Mobilsystemen. Für Android gibt es da eine Reihe von Lösungen. Bei iOS sieht das Ganze ziemlich mau aus. Das offizielle Mailprogramm, verfügt leider über keine Möglichkeiten es über Schnittstellen zu erweitern. Als einzige brauchbare App für das Verschlüsseln von Mails ist iPGMail zu nennen.

Preis: 1,99 €

Mangels möglicher Integration in das Mailprogramm müssen die Texte mittels Copy & Paste zwischen den beiden Apps ausgetauscht werden. Das ist natürlich nicht bequem, so das zu hoffen steht, das es hier in Zukunft eine elegantere Methode gibt. Die offizielle Seite ist unter http://ipgmail.com/ zu finden.