Wenzlaff.de – Rund um die Programmierung
mit Java, Raspberry Pi, SDR, Linux, Arduino, Sicherheit, Blender, KI, Statistik, Krypto und Blockchain
Rund um die Sicherheit im Netz und von Programmen.
Automatischer täglicher Server Check mit Ping. Es wird auf Erreichbarkeit getestet und im Fehlerfall eine Pushover Nachricht an das Handy versendet. Kann schnell und leicht erweitert werden. Einfach einen neuen inject Node mit Server URL und Zeitpunkt ergänzen.
Der Code des Flows „Automatischer Server-Check auf Erreichbarkeit und im Fehlerfall eine Pushover Nachricht an das Handy senden – Wie?“ weiterlesen
Wenn in der /etc/wpa_supplicant/wpa_supplicant.conf eines Raspberry Pi noch das WLAN-Passwort im Klartext steht, kann das optional durch einen Key ersetzt werden. Der Key kann einfach als ROOT erstellt werden:
|
1 2 |
sudo -i wpa_passphrase "WLAN-NAME" "WLAN-PASSWORT" >> /etc/wpa_supplicant/wpa_supplicant.conf |
Dann noch die auskommentierte Passwortzeile löschen, wie hier ausführlich beschrieben.
Hier mal ein 6 Minuten live Video zum 10-millionsten Download der Corona-Warn-App. Ein Bluetooth Scann mit dem Raspberry Pi für Auswertung mit Wireshark …
Wir wollen mal alle Bluetooth Geräte im Umkreis Scannen, ohne sich mit mit den Geräten zu pairen. Es werden so schon genug Infos geliefert um ein Device zu tracken. Also nur an eigenen Geräten testen. Wir verwenden dazu den btscanner. Der wird wie folgt beschrieben:
|
1 2 3 4 5 6 7 |
btscanner is a tool designed specifically to extract as much information as possible from a Bluetooth device without the requirement to pair. A detailed information screen extracts HCI and SDP information, and maintains an open connection to monitor the RSSI and link quality. btscanner is based on the BlueZ Bluetooth stack, which is included with recent Linux kernels, and the BlueZ toolset. btscanner also contains a complete listing of the IEEE OUI numbers and class lookup tables. Using the information gathered from these sources it is possible to make educated guesses as to the host device type |
Wenn das nichts ist. Infos ohne pair! Aber nur für die Weiterbildung!
Wenn der noch nicht installiert ist:
sudo apt-get install btscanner
Dann brauchen wir eine USB-Bluetooth-Adapter im Raspberry Pi, wie auch hier schon beschrieben. Dann schauen wir, ob alles richtig konfiguriert ist.
hciconfig
Ergebnis ungefähr:
|
1 2 3 4 5 |
hci0: Type: Primary Bus: USB BD Address: 00:00:xx:xx:xx:xx ACL MTU: 1017:8 SCO MTU: 64:8 UP RUNNING PSCAN RX bytes:15760 acl:20 sco:0 events:1238 errors:0 TX bytes:8047 acl:20 sco:0 commands:723 errors:0 |
Dann noch mal … „Bluetooth Scann mit btscanner von einem Raspberry Pi mit Debian buster, es muss ja nicht immer Kali sein“ weiterlesen
Zum 10-millionsten Download der Corona-Warn-App hatte ich mal Interesse an Bluetooth. Da die Corona-Warn-App mit Bluetooth arbeitet und der Quellcode und Doku auf github zu finden ist. Also erst mal eine Mindmap zum Thema Bluetooth:
Danke Dr.Kleinhirn.eu für die Erlaubnis zur Veröffentlichung der Mindmap
Dann fangen wir mal ganz einfach an mit ein Bluetooth-Scann mit dem Raspberry Pi und Auswertung der Daten mit Wireshark. Wir brauchen nicht viel. Einen Raspberry Pi und eine Bluetooth USB Stick und 1-2 Stunden Zeit. Ich habe z.B. diesen Bluethooth-USB-Adapter verwendet:
Erst mal das Rasbian-Linux-System updaten und ein paar Programme installieren, wenn sie nicht schon vorhanden sind: „Zum 10-millionsten Download der Corona-Warn-App mal ein Bluetooth Scann mit dem Raspberry Pi und Wireshark“ weiterlesen
Da vor ein paar Tagen der öffentliche Schlüssel für das gitlab.com Repo geändert wurde, kommt es beim apt-get update evl. zu diesem Fehler:
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://packages.gitlab.com/gitlab/raspberry-pi2/debian jessie InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 3F01618A51312F3F
W: Fehlschlag beim Holen von https://packages.gitlab.com/gitlab/raspberry-pi2/debian/dists/jessie/InRelease Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 3F01618A51312F3F
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.
(c) 2020 K. Wenzlaff – mit freundlicher Genehmigung
Was kann bei dieser Fehlermeldung gemacht werden? „Raspberry Pi: NO_PUBKEY 3F01618A51312F3F“ weiterlesen
Jetzt ist die Zeit der Videokonferenzen (covid-19, home office). Da da es bei Zoom viele Sicherheitslücken (heise.de spricht von Sicherheitsalptraum) gibt und es nicht auf einen eigenen Rechner laufen kann, könnte man das OpenSource Jitsi verwenden.
Hier gibt es eine Anleitung „Videokonferenz auf dem Raspberry Pi mit Jitsi?“ weiterlesen
Bettercap ist in Go implementiert. Es gibt viele Module, darunter solche für DNS-Spoofing, Netsniffing, Wifi-Analysen und Wake-on-LAN.
Ok, dann mal eben in 30 Minuten auf einem Raspberry Pi W Zero installieren:
|
1 2 3 4 5 |
sudo apt-get update sudo apt-get upgrade sudo apt-get install build-essential ruby-dev libpcap-dev sudo gem install bettercap sudo bettercap -h |
Ergebniss:
So, dann steht nun nichts mehr einer MITM attack im Wege, weitere Infos hier oder auf der Projektseite.
Das sind die amtlichen Werte, mein Raspberry Pi leitet sie nur weiter. Die Niedersächsische Gewerbeaufsicht misst Umweltdaten und stellt sie zur freien Verfügung bereit, hier die Grafiken:
Eine Google-Dork-Abfrage (oder Bing, …) beziehungsweise abgekürzt ein Dork ist eine spezielle Suchabfrage, die fortgeschrittene Parameter von Suchmaschinen wie Google, Bing usw. nutzt, um Informationen aus einer Webseite herauszufiltern, die anders nicht so leicht verfügbar wären. Dazu gehören auch Informationen, die nicht für die Öffentlichkeit gedacht sind und die nur unzureichend geschützt wurden.
Google-Dorking ist ein passiver Angriff, mit dem sich Nutzernamen, Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten und Sicherheitslücken auf Webseiten herausfinden lassen.
Mit dem sqliv ist es leicht solche Abfragen zu automatisieren.
Wie kann das Python-Script auf Debian (wozu Kali 😉 installiert werden: „Dork mit sqliv auf dem Raspberry Pi unter Debian“ weiterlesen
Für SQL Injection, Penetration Testing und mehr kann der sqlmap auf dem Raspberry Pi in 5 Minuten installiert werden. Es muss ja nicht immer Kali-Linux sein. Auch auf einem Debian geht es einfach mit:
sudo apt-get install sqlmap
und schon kann es los gehen:
splmap -h
Die Kalender Einstellungen des Google Kalenders ermöglichen es Spammern defalult leicht Termine einzustellen die man nicht will (SPAMM). Wer unerwünschte Termine oder Einladungen erhält, kann es etwas eindämmen. Dazu diese Einstellungen anpassen unter Einstellungen und Allgemein:
Un dann die rot markierten Optionen abwählen bzw. Nein wählen, so das es ungefähr so aussieht: „Wie kann dein Google Kalender in 3 Minuten vor Spammern geschützt werden?“ weiterlesen
Die Telekom hat immer noch eine von mir gemeldete Sicherheitslücke in ihren Prepaid Karten verlinkt. Auch wenn die Sicherheitslücke von tausenden Betroffenen Karten als Verpackungsfehler (Aus meiner sicht verschleiern) deklariert wird.
Aber immerhin gibt es in der Hall auf Fame immer noch diesen Eintrag (Stand: 20.05.2019):
Hier der Link zur Dankseite der Telekom. Na ja, eine Zeile ist besser als nichts! Oder? 😉
Manchmal will man wissen, welche Ports alle auf dem Raspberry Pi verwendet werden. Das geht z.B. mit
sudo netstat -tulpen
Das kann sich auch gut merken. Einfach an die Blumen „Tulpen“ denken.
oder auch nur alle aktiven mit „Linux Quickie: Wie können alle aktive Ports mit netstat angezeigt werden?“ weiterlesen
Wie kann eine User Aktion mitgelesen werden, die ein User im Browser tätigt? Also wie können wir die URLs usw. mitlesen, die von und zu einem Browser gehen? Das alle von der Konsole aus z.B. mit einem Raspberry Pi? Das hatte ich schon mal vor 5 Jahren nicht ganz so ausführlich hier beschrieben. Noch mit tshark 1.12. jetzt mal mit 2.6.5. Hier ein kleiner Einblick in die Arbeit eines Pentesters.
Also zu erst der User Task, er ruf in einer Konsole die URL www.wenzlaff.info auf. Dafür benutzen wir den Browser lynx. Wenn der noch nicht auf dem Pi installiert ist, kann das schnell mit einem sudo apt-get install lynx durchgeführt werden. Dann der erste Test, Aufruf:
lynx www.wenzlaff.de „User Webseiten Sniffing mit tshark auf einem headless Raspberry Pi oder „Dump and analyze network traffic with tshark““ weiterlesen
Wieviel Strom verbraucht der CC2531 am Raspberry Pi? Ich hatte ja vor ein paar Tagen schon 2 Beiträge dazu geschrieben. Die grüne LED ist sehr hell und dennoch …
0.00 Ampere im Leerlauf ist nicht viel. Dann mal ein anderes Messgerät … „Stromverbrauch des CC2531 Sniffer Protocol Analyzer Wireless Module USB (ZigBee) am Raspberry Pi“ weiterlesen
Whsniff ist ein Kommandozeilen Werkzeug für das TI CC2531 USB Dongle für IEEE 802.15.4 Traffic bei 2.4 GHz. Es läuft auf dem Raspberry Pi unter Linux (unter Windows geht wohl auch mit SmartRF von TI).
Und es erzeugt Datein im freien pcap Format (packet capture) für tshark und Wireshark.
Der USB Dongel, Details „whsniff ein Packet Konverter für Sniffing im IEEE 802.15.4 Wireless Sensor Networks (ZigBee) bei 2.4 GHz“ weiterlesen
Was ist den da aus der Bucht schönes angekommen? Oh ein CC2531 (Datenblatt (PDF)) Sniffer Protocol Analyzer Wireless Module USB Interfac Stable for ZigBee
Links der USB Anschluss und rechts ist die Antenne gut zu erkennen.
„CC2531 Sniffer Protocol Analyzer Wireless Module USB Interfac Stable For ZigBee for Raspberry Pi“ weiterlesen
Sicherung von Daten ist ja immer gut. Wenn dann mal die SD-Karte crasht, kann man sein openHAB 2 wieder herstellen. In openHAB 2 ist eine Backup und Restore Funktion integriert.
Man braucht nur das Backupscript aufrufen:
|
1 |
sudo $OPENHAB_RUNTIME/bin/backup |
und das Passwort eingeben: „Backup und Restore von openHAB 2 auf dem Raspberry Pi“ weiterlesen
1. Smart Home – Smart Hack https://www.youtube.com/watch?v=urnNfS6tWAY
auch als Zusammenfassung von Heise https://www.heise.de/newsticker/meldung/35C3-Ueber-die-smarte-Gluehbirne-das-Heimnetzwerk-hacken-4259891.html
2. Venenerkennung hacken https://www.youtube.com/watch?v=FsZE6fyF26U
3. Gesundheits Apps und vivy: All Your Gesundheitsakten Are Belong To Us https://www.youtube.com/watch?v=82Hfh1AItiQ
„Meine TOP 12 des 35c3“ weiterlesen
Heute vor 20 Jahren, am 1.12.1998 ging die Domain wenzlaff.de zum ersten mal ans Netz. Wie die Zeit vergeht.
Es war eine statische Webseite mit Freeware und Sprüche Datenbank mit Newsletter und einigen C++ und Java Programmen zum kostenlosen Download aus meiner Hand. Hier ein etwas unvollständiges Bildschirmfoto, mehr habe ich leider nicht mehr gefunden:
Aber auch schon lange vor dieser Zeit, hatte ich eine Homepage, die aber dann auf den Servern der UNI-Bremen kostenlos gehostet wurde. Da hatte ich als Informatiker einen Zugang mit Akustikkoppler mit 300 Baud und Lochkarten hatten wir da auch noch. Das war wenigstens etwas zum anfassen, batches mit Lochkarten schreiben, cool!
Und es gab keine Werbung im Internet.
Die schöne alte Zeit. Und in der Zwischenzeit gab es immer mal neue Technologie. Vom statischen html zum xhtml und JavaScript über einen eigenen Java html Generator mit Templates bis heute zu den Content-Management-System mit eigener Datenbank.
Bis heute konnte ich auch auf dieser Webseite immer auf Werbung verzichten. Juhu …
Wie soll es weiter gehen? Gibt es noch Themen nach über 1000 Beiträgen? Ideen habe ich noch genug, was fehlt ist die Zeit!
In diesem Sinne, vielen Dank an alle Leser und für das viele Feedback (die über 1000 Kommentare mit Kommentarfunktion habe ich ja abgeschaltet…DSGVO läßt grüßen) das auch nach wie vor erwünscht ist, aber eben über E-Mail 😉
Wollte einen Git Tag signieren auf einem Raspberry Pi W Zero. Nach der Key Erzeugung (gpg –gen-key) schlug das signieren des git tags mit -s:
|
1 |
git tag -s v1.0.1 -m 'Erster signierter Tag' |
mit folgender Fehlermeldung fehl:
gpg: signing failed: Unpassender IOCTL (I/O-Control) für das Gerät
gpg: signing failed ioctl
Ein erster Test mit:
|
1 |
echo "test" | gpg --clearsign |
schlug auch fehlt. Eine Kontrolle der Config (.gitconfig) mit: „Raspberry Pi bricht beim signieren eines Git tags mit „gpg: signing failed: Unpassender IOCTL (I/O-Control) für das Gerät“ ab“ weiterlesen
Wenn man Kali Linux in einer VirtualBox VM installieren will, geht das mit dem OVA Image sehr einfach und ist in 10 Minuten erledigt, wenn das Image schon auf der Festplatte geladen ist und VirtualBox installiert ist (siehe dazu einen vorhergehenden Blogeintrag auf dieser Seite).
Das OVA Format enthält alle benötigten Einstellungen. Eine OVA Datei ist der gezipte OVF Verzeichnis Inhalt mit Beschreibungs Dateien (.ovf), Manifest (.mf) Dateien und Virtual Maschinen State Dateien (*.vhd, *.vmdk).
Wenn die VirtualBox installiert ist, kann das Kali Image hier im OVF Format geladen werden. Dazu auf den zweiten Reiter „Kali Linux VirtualBox Images“ gehen und die Datei laden:
Wer Debian in einer VM braucht, kann es wie folgt installieren. Eine Stunde sollt man aber schon an Zeit mitbringen.
Laden des ISO Image von Debian, für mich das AMD Mac Netinstal Image von debian.org und zwar dieses Image debian-mac-9.5.0-amd64-netinst.iso mit 294 MB. Oder welches Image auch immer für das Betriebssystem nötig ist.
Nach dem Starten der VirtualBox auf Neu klicken:
„Wie kann Debian Linux in einer VirtualBox VM installiert werden?“ weiterlesen
Nmap läuft auch auf dem Raspberry Pi.
Die Aktuelle nmap Version 7.7 braucht nicht aus den Sourcen compiliert werden, da es für den rPi fertige Packages in Version 7.4 gibt.
Also erst das System auf den aktuellen Stand bringen und nmap installieren:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
sudo apt-get update sudo apt-get upgrade sudo apt-get install nmap # Check nmap -version # Ergebnis # Nmap version 7.40 ( https://nmap.org ) # Platform: arm-unknown-linux-gnueabihf # Compiled with: liblua-5.3.3 openssl-1.1.0c libpcre-8.39 libpcap-1.8.1 nmap-libdnet-1.12 ipv6 # Compiled without: # Available nsock engines: epoll poll select # sehr ausführliche Anleitung man nmap # erster Test mit eigener IP nmap -sP 192.168.2.0/24 |
Oder hier die man als PDF zum download und offline lesen.
Oder wer lieber eine GUI haben will, kann mal Zenmap installieren:
in dem Programm gibt es auch einen guten Profile-Editor, mit deutscher Beschreibung der Parameter:
Wer das Kali Linux installiert (Linux kali 4.15.0-kali2-amd64 #1 SMP Debian 4.15.11-1kali1 (2018-03-21) x86_64 GNU/Linux oder auch jede andere Version 😉 ) hat,
findet den Hinweis: „These images have a default password of “toor” and may have pre-generated SSH host keys.“.
Das heißt, das alle Image mit dem gleichen Passwort und dem gleichen SSH Host Key installiert werden.
Das muss man dann gleich als erstes ändern. Das Passwort für Root ist schnell mit passwd auf der Konsole geändert:
Auch die SSH Host Keys sind schnell erneuert, einfach auf der Konsole, die alten in ein backup Verzeichnis verschieben: „Wie können in Kali Linux die SSH Host Keys und das Passwort von Root erneuert werden?“ weiterlesen
Wer kein Intresse an Fussball hat, kann ja diesen Tiobe.com Link anschauen. Dort sind die drei TOP Programmiersprachen: JAVA, C, C++ und JavaScript auf Platz 18. Mit den Sprachen kann man ja auch gut, den Raspberry Pi programmieren. Einige nutzen dazu auch Python das auf Plazt 4 gelandet ist. Die TOP drei sehe ich auch so: JAVA, C und C++. Obwohl ich noch C++ vor C setzen würde.
Oder einfach mal alles updaten. Apple kommt ja eben mit (macOS 10.13.6: EFI-Updates):
Oder Office mit Excel und Word ist auch möglich:
Oder Windows mit 1000 Sicherheitspatches oder E-Mail-Client Thunderbird: Mozilla bessert auch nach. Oder Adobe Patches 112 Vulnerabilities in Latest Patch Package (CVE-2018-5007).
Oder Urlaub planen.
Tor …
Was ist denn da bei Flightradar24 los? Mein Raspberry Pi Feed meldet:
Auch gestern diese E-Mail bekommen, und dachte es ist ein Fake, da auf der Homepage von Flightradar 24 nichts stand. „Raspberry Pi DUMP1090: Flightradar24 gehackt und Daten von 230.000 Nutzern abgezogen“ weiterlesen
