Die an Pentester und Sicherheitsexperten gerichtete Distribution Kali Linux frischt die Optik leicht auf, schraubt dezent an den Images für den Raspberry Pi und trägt ungewöhnlicherweise ein „a“…
Die an Pentester und Sicherheitsexperten gerichtete Distribution Kali Linux frischt die Optik leicht auf, schraubt dezent an den Images für den Raspberry Pi und trägt ungewöhnlicherweise ein „a“…
Die Distribution ParrotOS richtet sich mit ihren vorinstallierten Werkzeugen primär an Sicherheitsexperten und Pentester. Die neue Ausgabe aktualisiert zahlreiche Pakete und korrigiert Fehler.
Die Distribution ParrotOS richtet sich mit ihren vorinstallierten Werkzeugen primär an Sicherheitsexperten und Pentester. Die neue Ausgabe aktualisiert zahlreiche Pakete und korrigiert Fehler.
Die EU-Kommission hat einen europäischen Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern auf den Weg gebracht.
Eine Gruppe von Google-Forschern und Aleksei Gorban haben gravierende Sicherheitslücken im Dateisynchronisationswerkzeug Rsync entdeckt.
Eine Gruppe von Google-Forschern und Aleksei Gorban haben gravierende Sicherheitslücken im Dateisynchronisationswerkzeug Rsync entdeckt.
Bekanntermaßen sind SSH-Verbindungen weitestgehend das Standardverfahren, um Serververbindungen sicher aufzubauen.
Normalerweise kommt in Bezug auf Authentifizierung eine Kombination aus Nutzernamen und Passwort zum Einsatz. Es gibt aber auch Varianten mit Zertifikat oder Schlüssel.
Letzteres sollte nicht nur Standard, sondern heute auch Thema sein. Üblicherweise erhältst du via SSH Vollzugriff (oke vielleicht kein root), es besteht allerdings die Möglichkeit diesen per authorized keys zu regulieren, so kannst du in einem SSH Schlüssel etwa eine IP-Beschränkung hinterlegen, um einen Zugriff weiter einzuschränken.
In einem Standardsetup findest du vorhandene Schlüssel unter ~/.ssh/authorized_keys und genau hier möchte ich heute einen genaueren Blick darauf werfen.
Dort liegen die öffentlichen SSH-Schlüssel, die einen bestimmten Aufbau haben, dazu gleich mehr. Auch wird zwischen Version 1 und Version 2 unterschieden, wobei zwei der Standard sein sollte.
Ältere Semester kennen eventuell noch ~/.ssh/authorized_keys2, was ursprünglich für den zweiten Protokolltyp vorgesehen war, allerdings seit 2001 deprecated ist und heute maximal noch von böswilligen Akteuren missbraucht wird.
Zurück zu den Schlüsseln, folgende Aufteilung besitzen diese laut Norm:
Im Detail ermöglichen sie, verschiedene Werte mitzugeben und anderen eine IP-Einschränkung.
Hier ein erstes Beispiel:
Anmelden
from="192.168.1.?,*.example.com" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com
Zur Erklärung: Du kannst in den Optionen Wildcards setzen. Das heißt, im Beispiel oben hätte 192.168.1.1-9 Zugriff, sowie Subdomains von example.com.
Eine weitere Möglichkeit wäre, die Option command zu verwenden, um direkte Befehle zu hinterlegen:
command="bash /opt/startworkflow" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com
command="/opt/mehrere_befehle.sh" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com
Der Nutzer hat hier nur das Recht, das vorgegebene Kommando auszuführen, nicht mehr und nicht weniger
Kontrollieren kannst du solche Kommandos mit der Variable $SSH_ORIGINAL_COMMAND. Diese enthält die ursprüngliche Befehlszeile
sobald ein erzwungener Befehl ausgeführt wird.
Wenn du mehrere Befehle erlauben willst, kommst du nicht drumherum, ein Script zu schreiben, was diese Beschränkungen mehr oder weniger aushebelt.
Ein weiteres Beispiel zeigt die Verwendungen der Kommandos für SSH Tunneling bzw. Port Forwarding:
restrict,port-forwarding,permitopen="localhost:8765" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQu9QfY+g0XRVbRTaMPLRN2PVmrRCpaDRaxTHPqggn3 user@example.com
Hier wird explizit erlaubt, eine Verbindung auf Port 8765 herzustellen und alles andere bitte bleiben zu lassen. Auch echter Shell-Zugang (no-pty ist in restrict enthalten) wird unterbunden.
restrict
Enable all restrictions, i.e. disable port, agent and X11 forwarding, as well as disabling PTY allocation and execution of ~/.ssh/rc. If any future restriction capabilities are added to authorized_keys files they will be included in this set.
Du hast nun einen kleinen Einblick in die vielfältigen Konfigurationsmöglichkeiten von SSH-Schlüsseln erhalten. Gerade IP-Beschränkungen oder Limitierung auf Befehle kommen im Alltag vor und sind in diesem Sinne keine neue Methode.
SSH Tunneling ist eigentlich schon wieder ein anderes Kapitel.
Einen Überblick der SSH Befehle findest du bei den Ubuntu Manpages. Viel Spaß.
Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt
Die Sicherheitslage im Cyberraum ist weiterhin angespannt. Zugleich stellen sich Staat, Wirtschaft und Gesellschaft stärker als bisher auf die Bedrohungen ein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Umfrage zum Thema KI-Sicherheit gestartet. Bis zum 15.
Die Distribution Parrot OS für Sicherheitsexperten und Penetration-Tester liegt in einer neuen Version 6.2 vor, die vor allem Produktpflege betreibt.
Die Distribution für Sicherheitsexperten und Penetration-Tester liegt in einer neuen Version vor, die vor allem Produktpflege betreibt.
IT-Sicherheit zählt in Deutschland neben der Benutzerfreundlichkeit zu den entscheidenden Kaufkriterien bei technischen Geräten.
Mit wget weist ein häufig genutztes Kommandozeilenprogramm eine kritische Sicherheitslücke auf, für die noch kein Fix bereitsteht. Von der Verwendung sollte deshalb derzeit abgesehen werden.
Ubuntu ist eine echte Alternative zu proprietären Betriebssystemen, sagt Tytus Kurek von Canonical im Interview.
Nachdem Microsoft Ende 2023 die Secure Future Initiative (SFI) ins Leben gerufen hat, um sich auf Cyberangriffen vorzubereiten, macht der Konzern nun laut dem Executive Vice President Microsoft…
Cisco Talos, ein zu Cisco gehörendes Cybersecurity-Unternehmen, beobachtet seit Mitte März 2024 einen weltweiten Anstieg von Brute-Force-Angriffen gegen eine Vielzahl von Zielen, darunter…
Ende März wurde in der XZ Utils Bibliothek, ein Kernbestandteil vieler Linux Distributionen, Schadcode entdeckt.
500 bösartige Pakete wurden in zwei Wellen auf Python Package Index bereitgestellt, warnen Security-Experten von Check Point.
Vor kurzem ist der neue Firefox 120 erschienen, er bringt eine nützliche Cookiedialog Blockfunktion mit.
Du kennst nervige Pop-ups zur Genüge, diese haben in den vergangenen Jahren das Internet zu einem Klicknet gemacht.
Praktischerweise bringt der neue Firefox eine Funktion mit, um diese automatisch abzulehnen. Heißt, sie werden nicht einfach ausgeblendet, sondern sie werden beantwortet.
Leider ist diese Funktion bisher nur deutschen Nutzer und dem privaten Modus vorbehalten. Das kannst du allerdings einfach über about:config ändern.
Du musst lediglich nach den Variablen cookiebanners.service.mode suchen und die Werte auf 1 setzen.
Sollten Cookie-Banner weiterhin nicht verschwinden, kannst du auch den Wert 2 setzen. Dieser sorgt dafür, dass Cookie Dialoge, die nicht abgelehnt werden können, automatisch akzeptiert werden.
Kontrollieren kannst du die Funktion in den Privacy Einstellungen about:preferences#privacy.
Natürlich kannst du die neue Surffreude ebenfalls auf Webseiten mit Cookie-Banner testen, so etwas wie chip.de oder dergleichen. Hier hat bei mir das Ablehnen nicht funktioniert, sondern nur Wert 2 mit Ablehnen, wenn möglich, und den Rest akzeptieren.
Eine weitere praktische Funktion, um den Fingerabdruck beim Surfen zu reduzieren, bietet der neue Fingerprinting-Schutz in der Canvas API, welcher allerdings auch nur im privaten Modus aktiv ist.
Eine ebenfalls hervorragende neue Funktion ist das Kopieren eines Links über das Kontextmenü ohne Trackinginformationen.
Alle weiteren Neuerungen von Firefox 120 findest du bei Mozilla.
Der Cyber Resilience Act wird zurzeit im EU-Parlament abschließend beraten und als Gesetz vorbereitet. Debian äußert Bedenken über die Folgen für Freie Software.
Mozilla hat Updates für das Mozilla Observatory angekündigt. Der Sicherheitscheck-Service für Webseiten soll dann ein Teil des Mozilla Developer Network (MDN) werden und entsprechend MDN Observatory heißen.
Das Mozilla Observatory prüft Webseiten auf Vorhandensein von Sicherheitsstandards und deren Umsetzung. Mozilla hat die Pflege des Tools allerdings selbst längere Zeit schleifen lassen. Nun komm mit dem MDN Observatory 2.0 ein Update, das allerdings erst am 25. Januar 2024 online gehen soll.
Dann aber sollen unter anderem die Bewertungsmetriken an die aktuellen Industriestandards angepasst sein und so sicherstellen, dass Webseiten auf dem neuesten Stand sind, teilt Mozilla mit.
Das MDN Observatory soll zudem mit einer neu gestalteten, benutzerfreundlichen Oberfläche ausgestattet sein und die Sicherheitsanalysen in Echtzeit vornehmen. Das Observatory werde dann in das Mozilla Developer Network integriert.
Der Beitrag Mozilla kündigt MDN-Observatorium 2.0 an erschien zuerst auf Linux-Magazin.
Die deutsche Nationalauswahl hat die European Cyber Security Challenge gewonnen. Das deutsche Team konnte sich in Hamar, Norwegen unter den 28. Teilnehmerländern durchsetzen.
Der Wettbewerb fand vom 24. bis 27. Oktober statt und wurde unter anderem von der European Union Agency for Cybersecurity (ENISA) organisiert. Die ENISA hat die Aufgabe , die Länder der EU auf zukünftige Herausforderungen der Cybersicherheit vorzubereiten.
Teilnehmer der Challenge. Quelle: Emil Nyeng
Der Wettbewerb deckte verschiedene Themenfelder der IT-Sicherheit ab. Am ersten und dritten Tag wurden in verschiedenen Aufgaben unter anderem die Kategorien Kryptografie, Web Security, Binary Exploitation und Open Source Intelligence bearbeitet. Am zweiten Tag folgte ein so genanntes Attack & Defence-Szenario. Bei dieser Aufgabenstellung arbeiten die Teams nicht parallel an den Aufgaben sondern versuchen stattdessen, bestimmte Services der gegnerischen Teams über ein Netzwerk anzugreifen.
Das deutsche Team hatte am Ende des Wettbewerbs 18269 Punkten in der Gesamtklassifizierung erreicht und lag damit vor der Schweiz (17783 Punkte) und Dänemark (17577 Punkte).
Der Beitrag Deutsches Team gewinnt European Cyber Security Challenge erschien zuerst auf Linux-Magazin.
Seit 2016 verwende ich einen OpenPGP-Key, um bei Bedarf meine eMails zu verschlüsseln. Leider hat sich dieses Verfahren nicht so durchgesetzt, wie man es sich erhofft hat. Negativ wirkten sich auch u.a. auch die zahlreichen Attacken auf SKS-Keyserver und die dort hinterlegten öffentlichen Schlüssel aus. Durch die Verwendung des neuen Keyservers auf keys.openpgp.org kam jedoch etwas Ruhe in die ganze Sache. Zur Freude musste ich meinen Key nicht aufgeben, den ich tatsächlich hin und wieder einsetze.
Die eMails, welche ich von meinem Notebook versende, wurden bis letzte Woche mit diesem Key signiert. Das heißt, dass u.a. auch mein öffentlicher Schüssel an jede abgehende Nachricht angehängt wurde. Nun bemerkte ich aber, dass meine eMails, mit dem Hinweis „Senden der Nachricht fehlgeschlagen“, nicht mehr verschickt wurden. Schnell hatte ich herausgefunden, dass der Anhang Probleme machte. Also habe ich als Sofortmaßnahme die digitale Signatur mit OpenPGP abgeschaltet, was natürlich nur eine Übergangslösung darstellen sollte.
Heute konnte ich der Sache auf den Grund gehen und habe mir den Key in Thunderbird näher angesehen. Hier konnte ich jedoch nichts Außergewöhnliches feststellen.
… so hört man es immer von den IT-Profis. Backups meines Schlüsselpaares existierten aber zum Glück. Bevor ich jedoch den Schlüssel in Thunderbird neu eingespielt habe, wurde meinerseits nochmals ein Backup des privaten Schlüssels über das Terminal mit
gpg --export-secret-keys -a user@domain.tld > secret.asc
angelegt. Dieses Backup packte ich nun zu den anderen. Hierbei fiel auf, dass der private Key nur 2,2kB groß war und das letzte Backup bei ca. 35kB lag. Eigentlich hätte doch der aktuelle Key größer sein müssen!?
Kurzerhand wurde also das letzte Backup des privaten Schlüssels in Thunderbird eingespielt und das Problem war tatsächlich gelöst. eMails können nun wieder mit digitaler Signatur versendet werden.
Natürlich wurde gleich, mit dem oben erwähnten Befehl, ein aktuelles Backup erzeugt. Der neue private Key hat nun eine Größe von 36,8kB, was beruhigt.
Ende gut, alles gut!
