seeseekey.net - Invictus Deus Ex Machina

Viele Entwickler würden ihre Anwendungen so entwickeln, das sie möglichst sicher sind. Das Problem ist, das den meisten Entwicklern das notwendige Wissen fehlt. Genau hier setzt das Open Web Application Security Project kurz OWASP an. In der Eigenbeschreibung des Projektes sieht es so aus:

The Open Web Application Security Project (OWASP) is a 501©(3) worldwide not-for-profit charitable organization focused on improving the security of software. Our mission is to make software security visible, so that individuals and organizations worldwide can make informed decisions about true software security risks.

Um das Wissen zu vermitteln, betreibt das Projekt eine Wiki unter owasp.org. In dieser Wiki sind profunde Informationen zu häufigen Sicherheitsproblemen zu finden. Auch bietet die Seite eine Reihe von Cheat Sheets welche bestimmte Probleme gezielt angehen und dem Entwickler helfen eine bestimmte Anforderung z.B. Authentifikation richtig zu implementieren.

Exploits (also ein Stück Quellcode zum Ausnutzen einer Schwachstelle) gibt es wie Sand am Meer. Manchmal möchte man sich einen solchen für eine bestimmte Anwendung anschauen und testen. An diesem Punkt kommt die Exploit Database ins Spiel, welche sich selbst so beschreibt:

The Exploit Database (EDB) – an ultimate archive of exploits and vulnerable software. A great resource for penetration testers, vulnerability researchers, and security addicts alike. Our aim is to collect exploits from submittals and mailing lists and concentrate them in one, easy to navigate database.

Zur Zeit archiviert die Exploit Database über 30.000 unterschiedliche Exploits. Die Exploits auf der Seite sind nach Kategorien sortiert und können auch durchsucht werden. Betrieben wird die Seite dabei von der Firma Offensive Security, welche unter anderem für die Entwicklung von Kali Linux verantwortlich ist.

exploit-db.com

Neben der offiziellen Seite ist die Exploit Database auch auf Twitter und Facebook zu finden.

Wenn man sich bei einem Webdienst anmeldet, so geschieht das meist mittels eines Passwortes. Das Problem an dieser Art von Authentifizierung ist das man nur mit Hilfe des Passwortes einen Account übernehmen kann. Bei der Zwei-Faktor-Authentifizierung läuft das ganze etwas anders. Hier bekommt der Nutzer zusätzlich noch ein Token oder muss sich mittels einer TAN oder seinem Fingerabdruck identifizieren.

twofactorauth.org

Viele bekannte Webdienste bieten diese Möglichkeit der Authentifizierung mittlerweile an. Meist bekommt man eine SMS mit dem Code, oder nutzt einen Generator auf seinem Smartphone. Wenn man sich informieren möchte, ob der gewünschte Webdienst eine Zwei-Faktor-Authentifizierung unterstützt, so sollte man twofactorauth.org besuchen. Auf der Webseite ist übersichtlich dargestellt welche Dienste eine solche Authentifizierung anbieten und welche es planen. Auch ist es möglich dem Dienst direkt mitzuteilen, das man sich eine Zwei-Faktor-Authentifizierung wünscht.

Das schöne an einem XMPP-Server ist die Tatsache das man ihn relativ einfach aufsetzen kann. Wenn er dann funktionstüchtig ist, stellt man sich nicht selten die Frage, wie sicher das ganze konfiguriert ist. Hier hilft das IM Observatorymit seiner Webseite.

Eine Auswertung des IM Observatory

Dort gibt man die URL zum XMPP-Server ein und anschließend wird dieser einigen Tests unterzogen. Nach Ablauf des Tests bekommt man eine Note von A bis F zugewiesen, wobei F das schlechteste Ergebnis darstellt. Daneben bekommt man detailliert aufgelistet welche sicherheitsrelevanten Features aktiv sind.

Mails verschlüsselt mit GnuPG zu verschicken, ist unter den Desktop-Betriebssystemen, wie Windows, Linux oder Mac OS X kein Problem. Schwieriger wird es unter Mobilsystemen. Für Android gibt es da eine Reihe von Lösungen. Bei iOS sieht das Ganze ziemlich mau aus. Das offizielle Mailprogramm, verfügt leider über keine Möglichkeiten es über Schnittstellen zu erweitern. Als einzige brauchbare App für das Verschlüsseln von Mails ist iPGMail zu nennen.

iPGMail
Preis: 1,79 €

Mangels möglicher Integration in das Mailprogramm müssen die Texte mittels Copy & Paste zwischen den beiden Apps ausgetauscht werden. Das ist natürlich nicht bequem, so das zu hoffen steht, das es hier in Zukunft eine elegantere Methode gibt. Die offizielle Seite ist unter http://ipgmail.com/ zu finden.

Betreibt man einen Server, so wird man mit der Zeit feststellen, das man nicht der einzige ist, der gerne Zugriff auf den Server hätte. Um zu häufige Loginversuche abzublocken gibt es Fail2ban. Dieses Programmpaket durchsucht die entsprechenden Logs und blockiert böswillige Versuche in das System einzubrechen. Damit gehört Fail2ban zu den Intrusion Prevention Systemen. Die Installation auf einem Ubuntu-Server geht dabei leicht von der Hand:

apt-get install fail2ban

Anschließend kann mit der Konfiguration begonnen werden:

nano /etc/fail2ban/jail.conf

In den ersten Einstellungen unter „[DEFAULT]“ findet man die Zeit (in Sekunden) welche angibt wie lange ein Angreifer geblockt werden soll. Standardmäßig sind dies 10 Minuten respektive 600 Sekunden. Im Bereich „[JAILS]“ kann Fail2ban nun für bestimmte Dienste aktiviert werden, indem der Wert bei „enabled“ auf „true“ gesetzt wird. Selbstverständlich ist es auch möglich eigene Jails zu definieren. Alle vorgefertigten Filterregeln findet man unter „/etc/fail2ban/filter.d“. Die Überwachung des SSH Dienstes ist dabei standardmäßig aktiviert. Nach der Anpassung der Konfiguration, sollte der Dienst mittels

service fail2ban restart

neugestartet werden. Das Log in welchem alle Fail2ban Aktionen verzeichnet sind, ist unter „/var/log/fail2ban.log“ zu finden.

Weitere Informationen gibt es unter:
http://cup.wpcoder.de/fail2ban-ip-firewall/

Wie man OpenVPN unter Windows betreibt, hatte ich vor einigen Jahren beschrieben. Auch unter Mac OS X lässt sich das ganze einrichten. Als grafischer Client bietet sich der quelloffende und unter GPLv2 stehende Client Tunnelblick an, dessen offizielle Seite auf Google Code zu finden ist. Nach der Installation der aktuellen (stabilen) Version 3.3, kann Tunnelblick auch gleich ausgeführt werden. Für die Konfiguration des Clients benötigt man eine Datei mit den benötigten Parametern, welche die Endung „ovpn“ oder „conf“ trägt. Tunnelblick kann dabei bei Bedarf eine Beispielkonfiguration anlegen. In dieser Konfigurationsdatei werden nur folgende Werte geändert:

remote vpn.example.org 1194

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert client.crt
key client.key

Die ovpn Datei wird mit der ca.crt Datei und der client.crt sowie der client.key Datei (beide erhält man vom VPN Anbieter) in einen Ordner gepackt und dieser Ordner mit der Erweiterung „.tblk“ versehen. Anschließend wie der Ordner im Finder geöffnet und somit der Tunnelblick-Konfiguration hinzugefügt. Danach kann die Verbindung im Kontextmenü aktiviert werden. Nach einigen Sekunden ist die Initialisierung beendet und die VPN Verbindung kann genutzt werden.

Möchte man PGP bzw. GPG unter Android nutzen, so empfielt sich die Nutzung von K-9 Mail. Dabei handelt es sich um eine freie Mailsoftware. Neben K-9 Mail muss auch die App APG installiert werden. APG ist eine GnuPG Implementation für Android.

K-9 Mail beim Verfassen einer Mail

Nach der Installation können mittels APG die öffentlichen Schlüssel der Empfänger hinzugefügt werden. Anschließend kann in K-9 Mail eine Mail verfasst werden. Dort kann auch festgelegt werden, ob die Mail nur signiert oder auch verschlüsselt werden soll. In den Einstellungen von K-9 Mail können diese Optionen auch als Standard eingestellt werden (unter Kryptografie).

Heute am 7. August 2013, wird begin­nend ab 19:00 Uhr, in den Räu­men von NB-Radiotreff 88,0 eine Cryp­to­party veranstaltet.

Flyer

Im ers­ten Teil der Ver­an­stal­tung wer­den einige theo­re­ti­sche Betrach­tun­gen über Daten­si­cher­heit & Daten­spar­sam­keit sowie Ver­schlüs­se­lung und sichere Kom­mu­ni­ka­tion behan­delt. Anschlie­ßend folgt der prak­ti­sche Teil, in dem die Teil­neh­mer auf ihren gege­be­nen­falls mit­ge­brach­ten Gerä­ten die erwor­be­nen Kennt­nisse aus­pro­bie­ren kön­nen. In die­sem Teil kön­nen auch wei­ter­füh­rende Fra­gen gestellt werden.

Mehr Informationen sowie die Anmeldung gibt es unter http://seeseekey.net/cryptoparty.