Tag Archives: Security

Jan201115

Benjamin

5

S/MIME Mails mit IPhone lesen

Endlich! Mit dem kostenlosen IPhone App SMIME Reader kann man nun auch verschlüsselte (S/MIME) Mails mit dem IPhone lesen. Zwar ist, wie der Name des Apps schon verrät, noch kein Versand von verschlüsselten Mails möglich, aber das Lesen reicht in den meisten Fällen unterwegs vollkommen aus.

Drei einfache Schritte sind für die Einrichtung nötig, wenn man das Zertfikat im Mac OS X Schlüsselbund importiert hat.

1. Zunächst das IPhone App auf dem IPhone installiert (ach nee ;) ). Am besten direkt über ITunes mit angeschlossenem IPhone durchführen, da dies für den dritten Schritt benötigt wird.

2. S/MIME Mail-Zertifikat samt privaten Schlüssel als PKCS#12 (.p12)-Datei über die Schlüsselbundverwaltung exportieren:

3. Über ITunes die exportierte Datei im Dateispeicher des SMIME Readers importieren:

Fertig :) Nun kann in IPhone Mail eine verschlüsselte Mail über den SMIME Reader geöffnet und entschlüsselt dargestellt werden:

Mai201013

Benjamin

0

arpwatch unter Mac mit Growl

Viele Man-in-the-middle-Angriffe in lokalen Netzwerken basieren auf ARP-Spoofing, bei dem durch gezieltes Fälschen von ARP-Netzwerkpaketen der Traffic eines Rechners so umgeleitet wird, dass ein Dritter diese mitlesen und verändern kann. Mittels Sicherheitsfunktionen wie z.B. Port Security sollten solche gefälschten Pakete in lokalen Netzwerkinfrastrukturen verhindert werden.

Möchte man in fremden Netzwerken selbst sicherstellen, dass man nicht Opfer solcher Angriffe wird, ist es möglich mit Software das Netzwerk zu überwachen und bei verdächtigen Veränderungen gewarnt zu werden. Ein bekanntes Unix-Netzwerktool in diesem Bereich ist arpwatch, welches ich u.a. auch auf meinem Notebook unter Mac OS X betreibe. Um direkt über verdächtige Änderungen im Netzwerk informiert zu werden, habe ich ein kleines Python-Skript geschrieben, das die System-Log von Mac OS X nach arpwatch-Meldungen durchsucht und entsprechende Growl-Nachrichten erstellt. Eine solche Growl-Nachricht kann z.B. so aussehen:

Hier wird gemeldet, dass sich die MAC-Adresse der IP 192.168.0.2 zwischen den beiden aufgeführten Adressen hin und her ändert. Ein Hinweis auf eine doppelt vergebene IP-Adresse im Netzwerk oder aber auch ein Indiz für gefälschte ARP-Anfragen bei einem Man-in-the-middle-Angriff.

Im Wiki habe ich die Einrichtung der Software und die erforderlichen Skripte für den Nachbau dokumentiert.

Jul200902

Benjamin

6

Meine Top35 Firefox Plugins

Nach dem Blick auf die Statusleiste meines Firefox-Browsers haben mich in letzter Zeit einige nach meinen installierten Plugins gefragt. Hier die Liste meiner Firefox 3.0 Plugins unter Mac OS X (die unterschrichenen Plugins sind meine meist genutzten):

Datenschutz / Sicherheit / Privatsphäre:

  • Adblock Plus blockt Werbeeinblendungen jeglicher Form auf Webseiten.
  • CookieSafe managt den Umgang mit Cookies: temporäres oder dauerhaftes Erlauben bzw. Sperren von Cookies.
  • Counterpixel sucht versteckte Image-Pixel von Webanalyse-Diensten wie Google Analytics, Sitecatalyst, IVW.
  • FormFox zeigt per mouse-over das Ziel eines HTML-Formulars an, um z.B. zu sehen an welche Adresse ein eingegebenes Passwort geschickt würde.
  • FoxyProxy ist ein Proxy-Management-Werkzeug, welches die begrenzten Proxy-Einstellungen von Firefox erweitert.
  • Ghostery zeigt versteckte Skripte von Webanalyse-Diensten wie Google Analytics, Omniture, Quantcast, usw. an.
  • Mark Unsecured Password Elements markiert Passwort-Felder rot, die unverschlüsselt verschickt würden.
  • NoScript sperrt und erlaubt JavaScript-Code auf Webseiten temporär oder dauerhaft pro Domain.

    • Download / Bedienung:

  • Download Statusbar zeigt Downloads statt in einem Download-Fenster in einer platzsparenden, zusätzlichen Download-Statusleiste an.
  • DownThemAll! ist ein Download-Manager und -Beschleuniger (unterstützt mehrere Verbindungen pro Download).
  • FaviconizeTab minimiert die Größe eines Tabs in Firefox auf das Favicon, konfigurierbar auch automatisch für bestimmte Webseiten.
  • FireGestures etabliert Mouse-Gesten in Firefox, mit dem verschiedene Kommandos oder Benutzerskripte ausgeführt werden können.
  • Tab Mix Plus erweitert die Tabbed-Browsing-Funktionen von Firefox (z.B. mehrspaltige Tableiste).

    • Erweiterungen / Tools:

  • 1Password ist ein Passwort-Manager für Mac OS X, welches mit einem entsprechendem Firefox Plugin ausgeliefert wird.
  • Abduction erstellt Screenshots kompletter Webseiten oder Ausschnitte davon.
  • Cooliris stellt Bilder und Videos von Webseiten (z.B. YouTube, Flickr, Facebook)  auf einer 3D-animierten Wand dar.
  • GooglePreview setzt auf den Google- und Yahoo-Suchergebnisseiten Vorschaubilder der gefundenen Webseiten ein.
  • Greasemonkey und Stylish passen die Anzeige von Webseiten mittels Javascript-Code und CSS an (Snippet-Sammlung: userscripts.org).
  • It’s All Text! kann den Inhalt von Textfeldern (textareas) auf Webseiten in externen Editoren bearbeiten.
  • Linkification konvertiert Text-Links in “klickbare” URLs.
  • Nagios Checker zeigt in der Firefox Statusbar Ereignisse des Netzwerkmonitoring-Dienstes Nagios an (z.B. Up, Warning, Critical, Down).

    • Web-Entwicklung:

  • ColorZilla ist ein Set aus ColorPicker, Page Zoomer und DOM Color Analyzer.
  • Firebug ist ein Entwicklungswerkzeug zum Editieren, Debuggen und Überwachen von CSS, HTML und Javascript.
  • FireCookie verwaltet und zeigt Cookies von Webseiten in der Firebug Konsole an.
  • FirePHP protokolliert PHP-Anwendungen und -Frameworks in der Firebug Konsole.
  • Javascript Deobfuscator zeigt welcher Javascript Code auf der Webseite ausgeführt wird, auch wenn dieser “obfuscated” ist.
  • Live HTTP Headers zeigt den HTTP-Header beim Aufruf von Webseiten an.
  • Page Speed testet die Performance von Webseiten und gibt Vorschläge zur Verbesserung dieser.
  • Web Developer erweitert Firefox um diverse Webentwickler-Werkzeuge.
  • YSlow analysiert die Geschwindigkeit von Webseiten nach Yahoos Performance-Kriterien.

    • Web Security / Penetration:

  • HackBar bietet eine erweiterte Adressleiste für einfache Web Security- und Penetrationstests.
  • SQL Inject Me testet Webseiten auf “SQL-injection” Schwachstellen.
  • Tamper Data zeigt HTTP/HTTPS Header- und Post-Parameter an und kann diese live modifizieren.
  • XSS Me testet Webseiten auf “reflected Cross-Site Scripting (XSS)” Schwachstellen.
  • X-Forwarded-For Spoofer fälscht den Header-Parameter “X-Forwarded-For”.

    • Fehlen noch unschlagbare Plugins, die umbedingt erwähnt werden sollten? Über Ergänzungen der Liste per Kommentar würde ich mich freuen.

    Jun200927

    Benjamin

    0

    LinuxTag 09: Websicherheit

    Einen schönen Überblick über Websicherheit gab Dirk Wetter in seinem gestrigen LinuxTag-Vortrag. Nach ein paar einfachen Beispielen und Erläuterungen zu XSS, CSRF und Injections, ging er detaillierter auf Web Application Firewalls (WAF) und anschließend auf kommerzielle und Open-Source Audit-Werkzeuge ein. Hier der direkte Link zu den Folien (PDF): Webunsicherheit 2.0