Archiv für September 2011

Tails – Nachfolger der Incognito Live CD

Die Live-Distribution Tails schickt sich an, der Nachfolger der am 23.10.2010 aufgegebenen Incognito LiveCD zu werden.

Tails basiert auf Debian und bringt unter anderem die Software:
Tor
Vidalia
Firefox mit Torbutton
Pidgin vorkonfiguriert mit OTR
HTTPSEverywhere

mit. Als Desktop wird auf Gnome gesetzt, natürlich ist auf der Live CD auch noch Software für den alltäglichen Gebrauch enthalten.

Als zusätzliche Features werden die Löschung des RAMs nach dem Herunterfahren gegen Kaltstartattacken (hatte Incognito meines Wissens auch schon) und der Support für I2P (Projekt unsichtbares Internet) beworben.

Nach dem erfolgreichen Download kann das Iso entweder auf CD gebrannt oder auf den USB-Stick kopiert werden.

Damit man die Technik hinter der Live CD und der Software versteht empfehle ich das Lesen der Design-Dokumentation / Walkthrough und um Fehler im Umgang mit Tor etc. zu vermeiden auf jeden Fall die Auflistung mit Warnungen.

Die Homepage des Projekts gibt es auch auf Deutsch, wobei hier die Übersetzung noch nicht bei 100% ist.

Tails, Screenshot von tails.boum.org

Persönlich finde ich es gut, dass es eine vorkonfigurierte Live CD für anonymes Surfen gibt, ich nutze diese gerne im Urlaub um anonym und ohne Zensur im Netz unterwegs zu sein. Was mir an diesem Projekt zusätzlich noch sehr sympatisch ist, die Entwickler lassen ihre Änderungen an die genutzten Projekte zurückfließen.

Zeig mir dein Bild und ich sag dir wer Du bist und vorallem wie viele

Bei Linuxundich.de bin ich am Anfang des Jahres auf stolencamerafinder.com aufmerksam geworden. Dieser Service kann an Hand der Seriennummer der verwendeten Kamera, Bilder von dieser auf Webseiten im Netz finden.

An sich eine super Sache, man wurde z. B. im Urlaub beklaut und die Kamera ist futsch. Zuhause oder noch während des Urlaubs liest man mit ExifTool die Seriennummer aus, gibt sie bei Stolen Camera Finder ein und findet mit etwas Glück neu aufgenommene Bilder der eigenen Kamera und kann so vielleicht den Ort oder wenigstens eine Person (via Polizei) ausfindig machen. Bei neueren Modellen ist evtl. in den Exif-Daten schon ein GPS-Standort gespeichert, Jackpot!

Worauf ich eigentlich mit meiner Überschrift hinaus will:

Stalker, Wirtschaftsspione oder aucheifersüchtige (Ex) Partner können den Spieß umdrehen und anhand eines Bildes das der Kamera einer Person zweifelsfrei zuzuordnen ist, ohne großen Aufwand Profile und Nicknames ihres “Opfers” ausfindig machen. Schon nach wenigen Sekunden hat der Übeltäter mit ein wenig Glück Bilder aus verschiedenen Profilen und kann sich gleich eine Strategie zurecht legen um sein Vorhaben in die Tat umzusetzen.

Der Wirtschaftsspion kann dann leicht z. B. mittels Social Hacking dem Erfolg seines Vorhabens auf die Sprünge helfen.

Wer auf Nummer Sicher gehen möchte oder etwas paranoid ist, sollte aus Sicherheitsgründen die Exifdaten vorher aus den Upload-Bildern entfernen. Da sich wahrscheinlich auch schon bald Fotos aus Handys / Smartphones zweifelsfrei durch Exif-Daten identifizieren lassen werden, somit kann dann auch der Upload des Schnappschusses auf Twitter, Flickr, etc. eindeutig einer Person zugeordnet werden.

Frei nach Trompetenkaefer ;)

“Drum prüfe wer ins Netz sich verbindet, ob sich nicht noch Data findet.”

Sicherheit bei der Open Source Programmierung…

… oder viele Köche verderben den Brei!

Cyberkriminelle scheinen in letzter Zeit auf den (Sieges)Zug der Open Source-Bewegung aufzuspringen. Sie nutzen die steigende Verbreitung der Freien Software für ihre Zwecke. Hierzu wird oft versucht bei populären Projekten in die Infrastruktur einzudringen um eine Backdoor, ein Schadprogramm oder ähnliches zu platzieren:

Einbruch linux.com
Einbruch kernel.org
Einbruch beim Debian-Projekt
Backdoor in proftp
Backdoor in vsftpd
Einbruch beim Fedora-Projekt
Einbruch in Ubuntu-Community-Server
Einbruch bei WordPress

In meiner Auswahl habe ich die prominenteren Beispiele aufgeführt, bis jetzt konnten wachsame Administratoren meist anhand von auffälligen Logdateien schnell den entstandenen Schaden begrenzen, sei es jetzt in wirtschaftlicher Hinsicht oder dem Vertrauensverlust in das Projekt. Dies setzt aber voraus, dass der Angreifer von außen kommt und sich mit “Gewalt” Zutritt zu den Systemen schafft.

Es gibt ein Szenario, wo diese Sicherungsmechanismen aller Wahrscheinlichkeit nur geringfügig oder gar nicht greifen… Nämlich, wenn ein potentieller Angreifer sich das Vertrauen des Projekts erschleicht und über Jahre sauberen Code beisteuert und nachdem er sich das Vertrauen erarbeitet hat in einem günstigen Moment eine Backdoor oder ein Zusatzprogramm / -script platziert. Bis hier die Alarmsignale schrillen kann einige Zeit ins Land gehen und mitunter eine Großzahl von Distributionen bzw. Installationen verseucht sein.

Dieses Szenario ist rein hypothetischer Natur, es sollte nur als Denkanstoß dienen. Gibt es hierzu schon Sicherungsmechanismen? Prüfsummen dürften hier keine wirkliche Abhilfe schaffen oder?

Open Source-Stilblüten: Bring es auf den Punkt!

Gestern auf der Heimfahrt hab ich im Zug einem Bekannten geholfen, sein Notebook mit Ubuntu wieder zurecht zu biegen. Es war kein großes Problem, er hatte nur fehlerhafte Einträge in der sources.list. Irgendwie kam mir dabei folgender Satz in den Sinn und verfolgt mich bis heute ;)


“Der gemeine Ubuntunutzer zeichnet sich durch den inflationären Gebrauch des sudo-Befehls aus, dessen Verwendung steigt exponentiell mit Frische des Releases.”

Habt ihr auch Zitate oder eigene Einfälle mit denen man Projekte im Open Source Bereich mit einem Augenzwinkern beschreiben kann?

An die Ubuntunutzer, den Satz bitte nicht zu ernst nehmen. Nach diesem jetzt schon turbolenten Jahr mit UniOS, Snowlinux, Fukushima und der Finanz-, Euro-, Vertrauens-, Wirtschafts-, Griechenland-, PIIGS-, und-wie-sie-noch-heißen-wird-Krise muss man sich auch mal auf andere Gedanken birngen. Nicht, dass gleich virtuelle Steine fliegen. ;)

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 36 Followern an