My Universe Logo

My Universe Blog » Entries Tagged as security

Chilis für Beastie

Posted by Jesco Freund at Sept. 3, 2011 10:20 p.m.

Das Computer Laboratory der Universität Cambridge hat ein Framework namens Capsicum entwickelt, mit dem das Konzept der Capability-based Security aufgegriffen und neu interpretiert wird. Ähnlich der in Draft 1003.1e vorgeschlagenen POSIX Capabilities (dieser Draft wurde jedoch zurückgezogen) erweitert Capsicum zwei zentrale Kernel-Objekte um mehrere Capability-Eigenschaften, nämlich Prozesse und Dateideskriptoren.

Damit ließe sich schon ein recht effektives Sandboxing umsetzen, aber Capsicum geht noch einen Schritt weiter: neben einem neuen Laufzeit-Linker, der die Umsetzung des Prozess-Sandboxings tatsächlich implementiert, führt Capsicum auch gleich noch eine neue Klasse von Speicherobjekten ein: Anonyme Shared Memory Objekte ermöglichen die Erzeugung anonymer Swap-Objekte, die an einen Capability-kontrollierten Dateideskriptor geknüpft werden. Mit dieser Technik lassen sich auch Applikationen in eine Sandbox stecken, die sonst aufgrund der Nutzung von Shared Memory sogar mit Jails nur schwer in den Griff zu bekommen waren (wie etwa PostgreSQL).

Dass Capsicum mittlerweile mehr als nur Proof of Concept ist, belegt die Tatsache, dass Capsicum Bestandteil der in Vorbereitung befindlichen Version 9 von FreeBSD geworden ist. Natürlich wird sich Capsicum noch in der Praxis bewähren müssen – in der Theorie ist es aber auf jeden Fall eine hochinteressante Sache und ermöglicht, auch die Prozesse an die Kandare zu nehmen, die aus praktischen Erwägungen heraus nicht in einem Jail gekapselt werden können (wie etwa der für den administrativen Zugang laufende sshd).

No comments | Defined tags for this entry: FreeBSD, security

Oneliner für Bogus-IPs

Posted by Jesco Freund at April 30, 2011 11:34 a.m.

Aus der Kategorie „nützliche Oneliner“:

awk '/receive|Invalid/ {print $NF}; /reverse/ {print substr($12,2,length($12)-2)}; /not allowed/ {print $9}' /var/log/auth.log | sort -nu

Damit erzeugt man eine Liste von IP-Adressen, die in letzter Zeit (soweit das Logfile eben reicht) ungebetenerweise Zugriff auf SSH haben wollten. Zugegeben: Der Nutzen einer solchen Liste ist eher begrenzt; man könnte damit (und z. B. in Verbindung mit GeoIP) eine Statistik füttern, automatisierte Abuse-Meldungen verschicken, etc.

alert Auf keinen Fall, unter gar keinen Umständen sollte man auf die blöde Idee kommen, damit automatisch den Zugriff auf SSH zu blockieren – sei es nun per Paketfilter, oder per TCP Wrapper.

No comments | Defined tags for this entry: awk, security, shell

FreeBSD für paranoide Nerds

Posted by Jesco Freund at March 6, 2011 12:24 p.m.

Für chronisch paranoide FreeBSD-Liebhaber (wie mich ;-)) habe ich eine Anleitung zusammengeschrieben, wie sich ein komplett verschlüsseltes System mit USB-„Zündschlüssel“ realisieren lässt. Als technisches Leckerli kommt anstelle von UFS auf Standard-Partitionen ZFS auf GPT zum Einsatz. Damit kann man die Power von FreeBSD 8.2 mal so richtig ausfahren…

Link: FreeBSD verschlüsselt auf ZFS installieren

No comments | Defined tags for this entry: FreeBSD, privacy, security, ZFS

Pretty Hard to Protect

Posted by Jesco Freund at Dec. 14, 2010 10:52 p.m.

Unter diesem Titel hatte schon Captain Crunch anno 2006 einen recht bissigen, aber treffenden Artikel zu PHP geschrieben. Wirklich gebessert hat sich seither nichts – wenn pro Version (nach über einem halben Jahr) gefühlte 10 Vulnerabilities gefixt werden (siehe Release-Announcement für 5.3.4), zeugt das nicht von hohem Sicherheitsbewusstsein der PHP-Entwickler, sondern schlicht von miesem Qualitätsmanagement.

Die zahlreichen kritischen Bugs treten übrigens (fast) ausschließlich in den Extensions auf. Das legt für mich den Schluss nahe, dass der Ansatz, alle (Zusatz-) Funktionalität in (in C geschriebenen) Extensions zu organisieren, unter Qualitätsaspekten vielleicht nicht der beste ist. Andere Interpreter-Sprachen wie Perl oder Python konzentrieren sich bei der Programmierung mit C auf den Interpreter-Kern und lagern Zusatzfunktionalität in Module aus, die in der jeweiligen Interpretersprache selbst geschrieben sind.

So können diese auch von weniger erfahrenen Programmierern entwickelt und maintained werden – in Python oder Perl (oder auch PHP) selbst ist es einfach schwierig bis unmöglich, eine NULL pointer dereference oder einen Buffer Overflow zu provozieren. Dazu bedürfte es schon eines Bugs im Interpreter, dessen Code aber verhältnismäßig übersichtlich ist und daher einigermaßen gut auditiert werden kann.

Die ziemlich schlechte Qualität der PHP-Extensions ist meiner Meinung nach ein Stück weit dem Entwicklungsmodell geschuldet – Besserung ist daher erst zu erwarten, wenn hier ein Umdenken seitens der tonangebenden PHP-Entwickler stattfindet. Das ist allerdings derzeit nicht erkennbar…

No comments | Defined tags for this entry: Perl, PHP, programming, python, security

Computersicherheit für Jedermann

Posted by Jesco Freund at Dec. 11, 2010 9:04 p.m.

Na jetzt ist mir klar, wie man seinen PC so sicher bekommt, dass man den vergurkten ePA damit nutzen kann:

/assets/user/jfreund/img/jpg/thumb/640x480/antivirenschamane.jpg

Gesehen und fotografiert habe ich das possierliche Teil übrigens in auf dem Kunsthandwerkermarkt im Heiligen-Geist-Hospital in Lübeck.

No comments | Defined tags for this entry: bizarre, humor, security, fun

Mein erster PR

Posted by Jesco Freund at May 15, 2009 6:43 p.m.

Obwohl ich FreeBSD nun schon seit über zwei Jahren einsetze, habe ich heute zum ersten mal einen PR („Problem Report“) erstellt. Allerdings handelt es sich nicht um einen Bugreport, sondern um einen Patch, um die verwundbare MoinMoin-Version (1.8.1) in den Ports endlich auf gefixte Version 1.8.3 zu heben. Mal schauen, was draus wird…

Für Ungeduldige: Der im PR abgelegte Patch lässt sich recht einfach auf den Ports Tree anwenden:

cd /usr/ports/www/moinmoin
patch -p1 < /pfad/zu/patch.txt
make deinstall && make reinstall clean

Update [2009-05-16]: Heute Nachmittag hat miwi den Patch committed :-)

No comments | Defined tags for this entry: FreeBSD, MoinMoin, ports, security

FreeBSD 7.0 End of Life

Posted by Jesco Freund at May 2, 2009 6:09 a.m.

Ab heute wird FreeBSD 7.0 offiziell nicht mehr gepflegt. Seit Anfang Januar steht jedoch bereits mit 7.1 der Nachfolger im RELENG_7 Branch als Release zur Verfügung, und das Release von 7.2 steht unmittelbar bevor. Wer also noch nicht auf 7.1 oder 7.2-RC2 umgestellt hat, sollte das jetzt schleunigst tun, zumal insbesondere der Sprung von 7.0 auf 7.1 hauptsächlich ein Qualitäts- und kein Feature-Release war.

No comments | Defined tags for this entry: FreeBSD, security

Der Bundesfilter durchdekliniert

Posted by Jesco Freund at Feb. 16, 2009 6:34 p.m.

Nachdem André schon einen Beitrag zum Thema verfasst hatte, wollte ich eigentlich Zurückhaltung üben und mich nicht weiter darüber auslassen (das schadet nur meinem Blutdruck und anschließend den Leberwerten…). Allerdings geistert in meinem Hirn schon eine ganze Weile die Idee herum, das Thema einmal ganz sachlich und nüchtern von der technischen Seite aufzubereiten – was ich mit diesem ersten (und hoffentlich auch gleichzeitig letzten) Artikel in Angriff nehme.

continue reading Der Bundesfilter durchdekliniert

2 comments | Defined tags for this entry: freedom, paranoia, politics, privacy, proxy, security

Schwarzpulver vs. Bambusflöte

Posted by Jesco Freund at Jan. 5, 2009 11:42 a.m.

Dass das ganze Sicherheits-Tamtam am Flughafen nicht unbedingt der Sicherheit dient, sondern eher eine Security-Show zur Beruhigung der Massen ist, haben schon viele (auch Experten) immer wieder bemängelt (ich erinnere da an die eindrucksvolle Demonstration von Ranga Yogeshwar, was sich mit 100ml Flüssigkeit tatsächlich anstellen lässt… ;-). In einem Blog-Eintrag deckt Rhona Mahony auf, dass es auch an US-amerikanischen Flughäfen nicht viel besser aussieht: Eine Bambusflöte im Handgepäck (auf dem Röntgenbild wohl als potenzielle Schlagwaffe identifiziert) sorgte beim Sicherheitspersonal für eine gewisse Entropie, während drei Gläser mit Holzkohle, Salpeter und Schwefel (die Zutaten für Schwarzpulver) unbeanstandet durch die Kontrolle wanderten. Ob unser BKA die Gläser wohl per Online-Durchsuchung hätte finden können…? 8-)

No comments | Defined tags for this entry: bizarre, civil rights, freedom, security

Nieder mit den Dreckschleudern

Posted by Jesco Freund at Nov. 19, 2008 5:25 p.m.

„Backscatter“ oder „Collateral Spam“ ist die Bezeichnung für einen sehr unangenehmen Seiteneffekt der ohnehin von jedem Mailserver-Admin gehaßten Spam-Mails. Bezeichnet werden damit Bounce-Nachrichten, die von einem Mailserver an den im Header einer Mail angegebenen Absender geschickt werden. Ursprünglich waren Bounce-Nachrichten eine gute Sache; sie informierten den Absender etwa darüber, dass eine Mail nicht zugestellt werden konnte, weil der Adressat nicht existiert (meist ein Tippfehler beim Absender), sein Quota überschritten hat, etc.

In der heutigen Zeit jedoch muss man als Mailserver-Betreiber davon ausgehen, dass etwa 90% der Absender-Angaben in Headern schlicht gefälscht sind (welcher Spamversender gibt schon seine tatsächliche Adresse an?). In der Konsequenz landen solche Bounces meist beim falschen Adressaten, da das SMTP-Protokoll keine Absender-Verifizierung vorsieht. Eigentlich ist diese Tatsache auch hinlänglich bekannt; trotzdem gibt es immer noch viele Mailserver, die durch fehlerhafte Konfiguration oder ungeeignete Software (QMail!) die Zustellbarkeit einer Mail erst nach abgeschlossenem SMTP-Dialog prüfen und bei Unpässlichkeiten den vermeintlichen Absender belästigen.

Das Aufkommen solchen Mülls ist auf meinem Server mittlerweile dramatisch angestiegen, so dass ich mich jetzt genötigt sah, hart durchzugreifen. Mailserver, von denen ich Backscatter empfange, landen bei mir in einer Blacklist und werden gleich nach dem HELO/EHLO mit einer entsprechenden „Grußbotschaft“ gekickt. Wer also in seinen Mailserverlogs mein kleines Sprüchlein („Your mailserver is misconfigured and sends backscatter/collateral spam“) findet, sollte sich mal über die Konfiguration seines MTA Gedanken machen.

1 comment | Defined tags for this entry: Postfix, security

Page 1 of 4 next page »