Captain's blog

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Vor ein paar Tagen hatte ich ja bereits angekündigt, dass es (dem Freitraffic sei Dank ) demnächst hier einen Mirrorserver für verschiedene Projekte geben wird. Dieses Vorhaben habe ich nun endlich in die Tat umgesetzt, und bin gerade dabei, die hierfür reservierten 150 GB mit "Leben" zu füllen.

Das erste Projekt, das ich hier mit Plattenplatz und Traffic unterstützen möchte ist OpenBSD, von dem (ganz gemäß der Mirror-Policy) jeweils die letzten beiden Releases, sowie die Snapshots vorliegen werden. Natürlich werden auch die dementsprechenden OpenSSH-Tarballs zu finden sein.
Weitere Dinge, die ich noch gern spiegeln würde sind Nmap und ein paar kleinere Exploit-Archive. Man darf also gespannt sein, was in naher Zukunft hier noch so alles auftaucht.

P.S.: Vorschläge für andere unterstützenswerte Projekte bitte als Kommentar oder (noch besser) Mail an mich.

Die Jungs und Mädels bei FON scheinen es mit ihrer Absicht, die weltweit größte WiFi-Community aufbauen zu wollen echt Ernst zu meinen. Seitdem vor ein paar Wochen die Meldung durch die Presse ging, dass kostenlose, auf OpenWRT aufbauende Access Points an neu hinzukommende "Foneros" verschickt werden, verfolge ich die Sache mit recht großem Interesse.

Das Konzept hierbei besteht darin, dass derjenige, der einen solchen Access Point betreibt den anderen Teilnehmern seinen breitbandigen Internetanschluss zur Verfügung stellt.
Im Gegensatz zu OpenWRT ist das FON-Gerät allerdings eine Blackbox, die keinerlei wirklichen Zugang (z.B. per SSH) erlaubt. Die Software ist dabei allerdings so raffiniert, dass sie ein vollständig privates WLAN ermöglicht, das unabhängig vom öffentlich erreichbaren arbeitet, so dass die meisten eh kein großes Bedürfnis nach vollständiger Konfigurierbarkeit verspüren werden.

Nachdem ich mich ja vor ein paar Monaten gegen den Erwerb eines BlackBerry entschlossen hatte, hat mich mein Namensvetter Christian vor ein paar Tagen wieder für das Thema "sensibilisiert".

Vor ein paar Tagen (s.u.) hatte ich kurz etwas über die neu hinzukommende Möglichkeit der kommenden OpenSSH-Version gepostet, "VPN-Tunnel" (ähnlich wie OpenVPN) damit aufbauen zu können.

Da ich ohnehin seit Anfang des Jahres massiv mit diversen Betriebssystemen innerhalb der Parallels Workstation rumspiele (in der erfreulicherweise auch OpenBSD läuft), kam ich seit ein paar Tagen nun endlich dazu, mir diese Möglichkeit einmal näher anzusehen:

Hatte ich irgendwann einmal erwähnt, dass ich C-Style-Kommentare ( /* Alles was hier steht ist ein Kommentar */ ) nicht mag? Wie einfach sind dagegen doch die guten alten Hash-Zeichen (#)...aber dass manche Programmierer ja doch recht eigen sind, ist ja eigentlich auch nichts großartig Neues.

Der geneigte Leser mag sich nun fragen, warum ich mich gerade über solche Kleinigkeiten hier auslasse, daher hier die Vorgeschichte:

Kaum durchwühlt man "kurz" wieder die Neuigkeiten, die einem sein Feedreader so ins Haus liefert, wird doch wieder was längeres daraus...

In diesem Fall hielt mich ein Interview auf SecurityFocus auf Trab, in dem auf neue Features der kommenden OpenSSH-Version (4.3) eingegangen wird.

Auf der diesjährigen OpenCON nahe Venedig gaben namhafte OpenBSD-Entwickler (u.a. Theo deRaadt) anhand von Vorträgen einen netten Einblick, wie das System "hinter den Kulissen" tickt.
Anhand der mittlerweile online verfügbaren Vortragsfolien erfähren auch diejenigen, die nicht anwesend sein konnten etwas über die Vorgehensweise der Entwickler und vor allem darüber, wie sie (über das andauernde Auditing der Sourcen hinaus) das "sicherste Betriebssystem" [tm] noch sicherer machen wollen:

Heutzutage dürfte es wohl kaum noch Firmen geben, die ihre Netze nicht durch eine Firewall gegen "Angriffe" aus dem Internet abschotten. Richtig gehandhabt, stellen diese auch einen recht wirksamen Schutz dar...sofern man die Tatsache außer Acht lässt, dass die meisten Angriffe immer noch von innen ausgehen.

Da der "Weg nach außen" aber meist durch eine recht restriktive Firewall-Policy "gesperrt" ist, finden sich immer wieder neue, kreative Ideen, wie diese Blockade doch zu durchbrechen ist. Ein gutes Beispiel hierfür ist das auf der letztjährigen BlackHat-Konferenz von Dan Kaminsky vorgestellte OxymanDNS (Download), das in der Lage ist, nahezu beliebigen Traffic via DNS zu tunneln.

Mittlerweile habe ich schon einige "Lösungen", Usern einen (meist mit Hilfe von chroot) eingeschränkten Shellzugriff zu geben gesehen, bzw. schon mehrere Möglichkeiten (z.T. testweise) durchexerziert. Ein paar Beispiele findet man beim chroot-login HowTo, alternativ gäbe es die Möglichkeit, OpenSSH direkt dahingehend zu patchen, damit der Daemon die User direkt chroot()et. Darüber hinaus existieren noch diverse weitere Möglichkeiten, auf die ich im folgenden nicht weiter eingehen möchte. Es geht schließlich auch erheblich einfacher:

Wer anderen Zugriff auf einen Server anbietet, schränkt diese im Normalfall so weit wie möglich ein. Niemand, der seine "Homepage" oder ein paar PHP-Seiten auf den Server befördern möchte, braucht z.B. definitiv keinen Shellzugang. In den falschen Händen und ohne größtmögliche Absicherung kann im schlimmsten Fall fatal enden. Die Distributoren versuchen mittlerweile zwar schon diverse Gefahrenquellen (wie z.B. Forkbombs) "per default" zu unterbinden, schlussendlich ist aber auch hier immer der Admin derjenige, der das "Feintuning" zu übernehmen hat.

Die Tatsache, dass Netzwerke grundsätzlich unsicher sind, ist mittlerweile (nicht zuletzt durch die tolle Cisco-Werbung) sogar bis in Manageretagen vorgedrungen. Sofern dort überhaupt technisches Wissen vorhanden ist (hoffentlich liest mein Boss niemals dieses Blog ), bringt man diese Unsicherheit zumeist mit Angriffen auf Applikationen als solche, z.B. mit Hilfe von Buffer Overflows (wobei die Kenntnis dieser zwei Worte für einen Manager bereits die ganz hohe Schule darstellt).
Wer sich allerdings ein wenig näher mit der Thematik befasst, wird schnell merken, dass Angriffsmöglichkeiten auf Netzwerke schon erheblich tiefer im Protokollstack stattfinden können. Dass bereits das ARP-Protokoll (RFC 826) "ganz unten" nicht gefeit gegenüber Manipulationen ist, die Attacken auf darüberliegende Schichten zumindestens vorbereiten, ist auch nicht erst seit gestern bekannt.

Auf der Suche nach sinnvollen Anwendungsgebieten für den BlackBerry 7290, den ich hoffentlich noch ein paar Wochen testen kann, bin ich heute Morgen auf eine absolute Killer-Applikation für mich gestoßen: MidpSSH.

MidpSSH ist ein in Java geschriebener Telnet- und SSH-Client, der sich nicht nur auf dem BlackBerry, sondern auch auf diversen Handies installieren und nutzen lässt. Natürlich musste ich das Ganze direkt einmal testen...