Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)

Sicherheit in Java-Projekten. Datenlecks in Java-Code entdecken. Reports mit bekannten Sicherheitslecks können leicht erstellt werden. Hier mal ein Beispiel Report im HTML Format:

Grundlage bildet die National Vulnerability Database (NVD) Datenbank für Sicherheitslücken, die vom National Institute of Standards and Technology (NIST) gepflegt wird. Wie können solche Reports erstellt werden?

Einfach in der Maven pom.xml das folgende Plugin DependencyCheck ergänzen: „Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)“ weiterlesen

Wie schalte ich die Passwortabfrage in Eclipse Oxygen.1A für die Übertragung nach GitHub ab?

Wer nicht bei jedem Checkin nach GitHub sein Namen und Passwort eingeben will, kann die OS X Keystore Integration auch abschalten.

Wie schalte ich die Passwortabfrage in Eclipse Oxygen.1A für die Übertragung nach GitHub ab?

Unter: General – Security – Secure Storage

Und schon kann automatisch eingescheckt werden. Diese Fünf­jäh­ri­ge, die sich selbst porträtiert hat, macht sich wie so viele keine Sorgen um Security 😉

Airbus A380-841 (D-AIMG, „Wien“) – Lufthansa mit Raspberry Pi soeben erfasst

Gerade eine Pushover Nachricht bekommen, das ein A380 in Hannover landet.

Der ist bei uns am Küchenfenster vorbei, und dann in Hannover gleich wieder durchgestartet, wie man hier gut sehen kann:

Kommt ursprünglich aus Hamburg, und hat einige Testschleifen hinter sich:

Der 6 Jahre alte A-380 ist nun in Frankfurt gelandet, mal sehen wo es hingeht bei der Wärme … mit amtlichen 25,5 Grad C und PM10 von 9 µg/m3 in HAJ.

Feinstaub (Particulate Matter, Pył ) Messung mit dem Raspberry Pi aus einer JSON Datei und NodeRED – Teil 1

Man kann mit dem Raspberry Pi auch Feinstaub messen, wenn man einen entsprechenden Sensor hat.

In diesem 1. Teil, beschreibe ich, wie man Messwerte aus öffentlicher Quelle, auch um später Vergleichswerte zu haben auswertet. Die Niedersächsische Gewerbeaufsicht misst Umweltdaten und stellt sie zur freien Verfügung bereit. Unter LÜN gibt es z.B. das Ergebniss für Hannover. Da gibt es auch eine kostenlose App für diese Daten für alle Handys.

Hier nun die Architektur:

Die Daten für zur Zeit 27 Messstationen werden im JSON-Format (und auch XML) im Internet frei veröffentlicht unter der URL: http://www.luen-ni.de/JSON.txt und enthalten ua. folgende Daten:

„Feinstaub (Particulate Matter, Pył ) Messung mit dem Raspberry Pi aus einer JSON Datei und NodeRED – Teil 1“ weiterlesen

Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi

Mal etwas zur Entspannung. Manchmal will man wissen ob ein Server erreichbar ist. Dafür gibt es das Kommandozeilen Programm ping. Wenn man diesen ping z.B. alle 5 Minuten ausführt hat man eine leicht Überwachung ob der Server noch erreichbar ist. Gesagt getan. Einen kleinen flow der alle 5 Minuten einen Ping ausführt und bei Veränderung eine Pushover Nachricht auf das Handy sendet.

So kann der Flow zusammen geklickt werden:

Im hellgelben „adv ping Node“, kann die IP-Adresse angegeben werden. Im „function Node“ wird der Ping ausgewertet. „Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi“ weiterlesen

Datei mit Sonderzeichen in Dateinamen läßt sich nicht per FTP löschen

Manchmal lädt man mehrere Dateien hoch, und es ist einem nicht immer bewußt, das auch im 21. Jahrhundert Umlaute zu Problemen führen können.

Wer z.B. eine Datei mit Namen „Testdatei für Umlauttest.txt“ mit einem FTP Client wie z.B. File Zilla auf einen Server hochlädt, der keine Serverunterstüzung für Nicht-ASCII-Zeichen hat, erhält nach dem upload den folgenden Dateiname:

Da der upload klappt und man keine Fehlermeldung erhält, merkt man es nicht immer.

Dann passen später die Links auf diese Datei uä. nicht, oder man verwendet den „richtigen“ Dateinamen.

Ein weiteres Problem. Man kann diese Datei mit dem FTP Client nicht mehr löschen. Wenn man es versucht, kommt die Fehlermeldung: „Datei mit Sonderzeichen in Dateinamen läßt sich nicht per FTP löschen“ weiterlesen

Raspberry Pi Zero W ohne Passwort mit Public RSA Key über SSH vom Mac aus zugreifen

Wenn man vom Mac aus auf einen entfernten Raspberry Pi (Zero W) zugreifen will, kann man das auch ohne jedesmal ein Passwort eingeben zu müssen. Dafür kann das Public RSA Key Verfahren verwendet werden.

Dazu muss auf dem Pi ein .ssh Verzeichnis mit einer authorized_keys Datei angelegt werden:

Dann in der /etc/ssh/sshd_config des Pi die folgenden Einträge setzen:

Dann den SSH Service restarten und in der Konsole bleiben.

Dann einmalig auf dem Mac einen RSA Key mit der Größe von 2048 anlegen.

Dazu bin ich in das .ssh Verzeichnis gewechselt und habe einen Key nur für die Pis ohne Passwort wie folgt angelegt:

Bei der Nachfrage nach einem Passwort, einfach nur Enter eingeben.
Da ich mehrere Keys in Verwendung habe, habe ich den Key in einer neuen Datei gespeichert, z.B. pi_id_rsa
Es werden nun zwei Dateien generiert, die pi_id_rsa mit dem privaten Key und die pi_id_rsa.pub mit dem public key.

Da mein default Key im Mac ein anderer ist, habe ich in der ~/.ssh/config Datei des Macs, wie hier schon mal beschrieben, um den folgenden Eintrag IdentityFile mit dem Namen für den privaten Key für die Verwendung des eben generierten Key und nicht des default Keys eingetragen:

Weitere Optionen zur ~/.ssh/config gibt es in der umfangreichen Referenz.

Jetzt noch den Key vom Mac auf den Pi kopieren damit er in der ~/ssh/authorized_keys Datei eingetragen wird, dazu in das ~/.ssh Verzeichnis wechseln und:

Jetzt von einer anderen Konsole testen ob alles läuft.

Wenn das Anmelden mit:

ohne Passwort nachfrage klappt ist alles ok. Sonst in der anderen Konsole fixen, sonst sperrt man sich selbst aus.

Habe ich was vergessen?

Video DIY USB Passwort Generator mit Attiny 85

Vor ein paar Tagen hatte ich schon mal den ATTINY 85 vorgestellt.


Das ist ein cooles Teil mit USB und das für 1 Euro. Er emuliert eine Tastatur (HID).

Also mal ein weiteres Programm, für folgendes Problem. Wer lange und komplizierte Passwörter verwendet, hat mit unter keine Lust, sie immer wieder einzugeben. Das ist auch fehleranfällig. Oder man möchte jemand anderes an seinen Rechner lassen, und ihn nicht das Passwort geben. Also gibt man den Generator weiter.

Wir erstellen also ein Programm, das das Passwort automatisch an den Rechner sendet. Man muss dann natürlich auf das Teil aufpassen, das es nicht in falsche Hände kommt. Wir senden nur einmal, das gespeicherte Passwort. Hier mal ein 45 Sekunden Demo Video:

Hier das C-Programm, es ist ein sehr einfaches Programm mit ein paar Zeilen: „Video DIY USB Passwort Generator mit Attiny 85“ weiterlesen

Gemeldete Telekom Sicherheitslücke mit Prepaid Karten nun auch in der „Hall of Fame“ vermerkt

Die Telekom hat es nun auch geschaft, eine von mir gemeldete Sicherheitslücke in ihren Prepaid Karten zu erwähnen. Auch wenn die Sicherheitslücke von tausenden Betroffenen Karten als Verpackungsfehler (verschleiern) deklariert wird.

Aber immerhin gibt es in der Hall auf Fame ( http://www.telekom.com/sicherheit/danke ) eine Danksagung:

Telekom Dank

Bildschirmfoto 2016-07-02 um 12.10.35

Die Seite ist auch am 5.5.2017 im neuen Layout noch sichtbar, aber unter einer neuen Adresse und das sogar mit https 😉 „Gemeldete Telekom Sicherheitslücke mit Prepaid Karten nun auch in der „Hall of Fame“ vermerkt“ weiterlesen

iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?

Auch mit dem neuen iPad Pro und iOS 9.1 läuft VPN on Demand so wie in dem Beitrag schon einmal erwähnt (auch hier). Es sind keine Änderungen an der config Datei nötig, obwohl es einige Neuerungen gab, „iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?“ weiterlesen

Raspberry Pi: Wie kann die History gelöscht werden, um neue Passwörter zu schützen?

Über die History können evl. erstellten Passwörter ausgelesen werden.

Z.B. ein Auszug der History:

Das löschen ist einfach und schnell:

Aber besser ist es noch, die Passwörter gar nicht erst in der History erscheinen zu lassen, das geht mit einem oder mehrerer Space (Leerzeichen) vor dem Befehl z.B.

Wie kann sysv-rc-conf 0.99 auf einem Raspberry Pi installiert werden?

Gui und Kommandozeile für die SysV-init-runlevel-Bearbeitung auf dem Raspberry Pi. Das sysv-rc-conf stellt eine Benutzeroberfläche zur Verwaltung von symbolischen Verweisen von /etc/rc{runlevel}.d/ für die Kommandozeile zur Verfügung. So sieht die GUI aus:

sysv-rc-conf
Sie erlaubt das einfache Aktivieren und Deaktivieren von Diensten. Es können Startskripte für jedes runlevel editiert werden, nicht nur das des Aktuellen.

Das Programm wird wie folgt installiert und gestartet: „Wie kann sysv-rc-conf 0.99 auf einem Raspberry Pi installiert werden?“ weiterlesen

Raspberry Pi: Nach update läuft Fhem im Browser nicht mehr. Oder wie spiele ich ein Backup von der Konsole ein (restore)!

Zuerst Fhem stoppen und dann ein Backup wie folg einspielen:

Wie kann ein laufender Windows Rechner (oder Raspberry Pi) initial mit Debian 8 Jessie und WordPress 4.3 (mit SSL https) aufgesetzt werden?


Wie kann ein laufender Windows XP Rechner (oder Raspberry Pi) auf Debian 8 Jessie mit WordPress 4.3 (SSL), Apache2 (SSL, https), MySql und phpMyadmin erstellt werden? Hier die gewünschte Architektur:

Architekur

Alle Daten auf den Windows Rechner müssen vorher gesichert werden, da das ganze System mit Linux überschrieben wird.

Debian Jessie

installieren
z.B. tools/win32-loader/stable/win32-loader.exe laden und installieren mit SSH Zugang, ohne GUI
Beim Raspberry Pi, analog vorgehen, wie hier im Blog schon beschrieben.

LAMP

installieren mit:

WordPress Database

erstellen

WordPress

4.3 laden erstellen

Optional ein paar gute Plugins installieren. Hier mal eine kleine Auswahl z.B.:

Schon alt, läuft aber noch „Limit Login Attempts„.
Wenn man sich da selbst aussperrt, einfach in der DB folgenden SQL absetzen:

Hier noch ein paar:
Wordpress Plugins
Optional kann noch ein PDF Export für die Tabellen integriert werden, wie hier beschrieben und auch gleich die Extension für das automatische URL converting.

Optional: PhpMyAdmin

installieren
In /etc/phpmyadmin/apache.conf den Eintrag

Selbstsignierte SSL Zertifikate für Apache2

erzeugen und installieren

Optional: Testen

welche Ports offen sind und deaktivieren!

Optional: Vorhandenen Blog mit dem WP Plugin

„All In One WP Migration“

exportieren und importieren, wie hier schon mal beschrieben.
Beim export evl. in „Find (text) Replace with (another-text) in the database“ den Eintrag xxx.ALTE-DOMAINE durch YYY-NEUE-DOMAINE ersetzen.
Die *.wpress Datei dann importieren.

Optional testen, welche Apache Version läuft mit:

Optional, die History löschen, so das die erstellten Passwörter nicht ausgelesen werden können

Super, der WordPress Blog läuft nun verschlüsselt über https 😉

Raspberry Pi: Wie kann WordPress mit Datenbank (MySQL) und Server (Nginx) vorkonfiguriert installiert werden? Mit PressPi!

Das vorkonfigurierte Image von PressPi enthält WordPress mit Datenbank und Server (Nginx). Das ganze kann wirklich leicht zum laufen gebracht werden. Es läuft unter Debian Wheezy

Linux presspi 3.18.7+ #755 PREEMPT Thu Feb 12 17:14:31 GMT 2015 armv6l GNU/Linux

1. Download von http://presspi.com/ das PressPi_v2.2.zip und die enpacken, so das eine PressPi_v2.2.img Datei entsteht.

2. Das PressPi_v2.2.img (7,9GB) auf die SD-Karte kopieren mit:

Nach der Installation sind auf der 8 GB Karte noch 45% Speicher für Nutzerdaten frei.

3. Nach der Installation und booten und anmelden mit SSH User: pi Passwort: raspberry, den SD-Karten Speicher auf die maximale SD-Karten Größe anpassen und gleich das Passwort ändern:

Aufruf im Browser mit der PI-ADRESSE liefert:
Pi Server

Der Server läuft und weiter unten gibt es die folgenden Angaben: „Raspberry Pi: Wie kann WordPress mit Datenbank (MySQL) und Server (Nginx) vorkonfiguriert installiert werden? Mit PressPi!“ weiterlesen

Raspberry Pi: Wie wird die neue Kali Linux 2.0 Sana Version installiert und mit SSH in Betrieb genommen?

Seit den 11.08.2015 gibt es einen neue Kali 2.0 Version. Was gibt es da Neues? Diese Mindmap SANA gibt einen ersten Überblick.

Die Sana Version kann ua. auch für den Raspberry Pi verwendet werden.

Wie wird die nun installiert?

Zuerst das gepackte Kali Image kali-linux-1.0.5-armel-rpi.img.xz (ca. 1,4 GB) von Kali.org herunter laden. Für den Raspberry Pi 2 das andere File verwenden. Oder wer mit TFT Display unterstützung haben will, kann das untere File verwenden.

(Optional Signatur/Unterschrift vergleichen)

(Optional) Checksumme des geladenen Archive vergleichen. Auf der Kali Homepage ist die SHA1Sum angegeben „Raspberry Pi: Wie wird die neue Kali Linux 2.0 Sana Version installiert und mit SSH in Betrieb genommen?“ weiterlesen

Kali Linux: WordPress Security Scanner wpscan

Wer gerade seinen Raspberry Pi mit Kali laufen hat, kann mal eben seinen WordPress Blog auf Sicherheitslücken testen mit dem Ruby wpscan. Bei Kali ist es schon installiert aber auch bei anderen Linux derivaten kann er installiert werden. Was kann der Scanner so:

  • Alle installierten Plugins listen
  • Namen des Themas ausgeben
  • Verzeichnis Listing
  • Versions ausgabe
  • Bruce force Usernamen
  • Sicherheitslücken ausgeben

Also erst einmal den Scanner (es gibt jetzt auch die Version 2.8) updaten mit:

Wpscan

Ok, jetzt testen wir mal gegen unseren eigenen WordPress Blog, und nur gegen den, ob das Passwort für admin sicher ist:

Weitere Beispiele unter wpscan -help

Urlaub: Position, Gesundheits und Sicherheits Info von Kreuzfahrtschiffen

Es naht für viele die Urlaubszeit. Wer eine Kreuzfahrt plant, möchte evl. wissen, wo das Schiff ist und welche Eigenschaften (z.B.Norwegain Perl) es hat. Das geht über die Cruisemapper Seite, die für alle Kreuzfahrtschiffe die jeweilige Position (z.B.Norwegain Perl) anzeigt. Das geht also nicht nur für Flugzeuge.

Auch die Gesundheits und Sicherheitsmeldungen können angezeigt werden z.B. für die Norwegian_Pearl

An alles gedacht? Visa für die USA?

Dann viel Spaß. Nach dem Motto, was ist das schönste Laub? Urlaub!

Raspberry Pi Rezept: Neues 400g Heringssalat Gehäuse – Lecker – Gut – Billig – Kismet – GPS

Es muss nicht immer ein teures Fertig-Gehäuse für den Raspberry Pi sein. Es gibt auch viele biologische Alternativen. Hier das Oster Rezept. Man nehme einen Heringssalat mit Rote Bete, Sellerie, Gurken und Äpfeln. Dann alles auf essen. Lecker. Das war der angenehme Teil der Arbeit.

Nun das Gehäuse sauber machen (lassen). Glaube nicht das das Gehäuse Spülmaschinen geeignet ist. Was meint Ihr?

Dann die Aussparungen für die SD-Karte, USB, Etherneth und Stromversorgung anzeichnen und mit einem scharfen Cuttermesser ausschneiden. Achtung! Das Cuttermesser nicht in Kinderhände geben, sonst gibt es Fleischsalat 😉

Schon hat die Kismet-Drohne mit GPS ein neues Zuhause. Viel Spaß bei der Bilderstrecke:

Raspberry Pi Gehäuse Aufbau

Raspberry Pi Gehäuse Aufbau

Raspberry Pi Gehäuse Aufbau

Raspberry Pi Gehäuse Aufbau

Raspberry Pi Gehäuse Aufbau
„Raspberry Pi Rezept: Neues 400g Heringssalat Gehäuse – Lecker – Gut – Billig – Kismet – GPS“ weiterlesen

Raspberry Pi: Kismet WLAN Auswertung in Hannover und Langenhagen in 2015

Wie hier beschrieben, können die Kismet Dateien auch ausgewertet werden, da sie in einer DB vorliegen. Also erst einmal die Anzahl der vorhandenen WLANs die in 2015 mit einem Raspberry Pi und Kismet inkl. GPS Modul in Langenhagen und Hannover empfangen wurden.

Ausgabe: 4416

Nun wollen wir mal sehen, wie so die jeweiligen Verschlüsselungsmodus sind.

Ausgabe:

None |645
WEP |77
WPA Migration Mode WEP40 WPA+TKIP WPA+PSK |1
WPA+AES-CCM |143
WPA+PSK WPA+AES-CCM |1630
WPA+TKIP |12
WPA+TKIP WPA+AES-CCM |32
WPA+TKIP WPA+PSK |124
WPA+TKIP WPA+PSK WPA+AES-CCM |1752

Diese Daten in einer Grafik:

Wardrive Result in Hannover und Langenhagen
Wardrive Result in Hannover und Langenhagen

UPDATE 5.4.15: Neue Auswertung mit Basis 10012 Einträge aus Hannover und Langenhagen. Die wireless.dbl hat jetzt eine Größe von 5,5 MB.

Die nicht verschlüsselten WLANs sind meistens kostenpflichtige Zugänge von Kabel-Deutschland und auch von der Telekom. Hotels und Geschäfte haben auch oft öffentliche WLAN Zugänge. Ein paar private User sind aber auch dabei 😉

Raspberry Pi: Wie kann der Kismet-Server sauber rauf und runter gefahren werden zum WarWalking (WarDriving)?

Wenn ein Kismet-Server auf dem Raspberry Pi läuft, muss der Server sauber rauf und runter gefahren werden, sonst werden die *NETXML Dateien wegen einem fehlenden sync nicht vollständig auf die SD-Karte geschrieben. Das Problem ist aber, wie kann der Raspberry Pi eingerichtet werden, so das der gpsd und Kismet automatisch hoch und auch sauber wieder runter fahren, ohne das ein Bildschirm bzw. Konsole angeschlossen wird? Und wie kann vom GPS Empfänger die Systemzeit gesetzt werden, da der Raspberry Pi ja keine Systemuhr hat und es beim WarWalking kein Internet mit NTP gibt ?

Die Lösung des Problems wird in dieser Anleitung beschrieben.

Wir brauchen ein Script zum automatischen hochfahren und ein Script das auf einen Tastendruck wartet. „Raspberry Pi: Wie kann der Kismet-Server sauber rauf und runter gefahren werden zum WarWalking (WarDriving)?“ weiterlesen

Raspberry Pi: Wie kann ein Hardware-Reset-Taster eingebaut werden?

Der Lötkolben war gerade noch heiß, deshalb noch mal eben zwei Kontakte an dem Raspberry Pi (Model B Revision 2.0, ältere Rev. haben diese Reset Logik nicht, meiner hat Rev. 7, siehe cat /proc/cpuinfo) angelötet. In der 2 Rev. des rPi kann an P6 eine Steckerleiste angelötet werden. Wenn diese beiden Kontakte über einen Taster geschlossen werden, wird ein Hardware-Reset ausgelöst. Ist evl. mal ganz hilfreich.

Hier findet Ihr die zwei P6 Lötpunkte, an denen ich die Steckerleiste angelötet haben:

Reset Lötpunkte
Reset Lötpunkte
„Raspberry Pi: Wie kann ein Hardware-Reset-Taster eingebaut werden?“ weiterlesen

Raspberry Pi: Wie kann die Bandbreite pro Prozess mit NetHogs angezeigt werden?

Mit dem Kommandozeilenwerkzeug nethogs, das die Bandbreitennutzung nach Prozessen und Sub-Netzen gruppieren kann, bekommt man schnell einen Überblick.

Es listet die PID, den Prozessnamen, Send Bytes, Received Bytes und den ausführenden Benutzer auf.

Die Installation ist auf dem Raspberry Pi mit:

schnell erledigt. Das Programm hat nur die folgenden Abhängigkeiten:

nethogs Mindmap
nethogs Mindmap

„Raspberry Pi: Wie kann die Bandbreite pro Prozess mit NetHogs angezeigt werden?“ weiterlesen

Raspberry Pi: Was ist bei Kali Linux anders als im Debian?

Wer den Raspberry Pi bisher unter Debian laufen hat, wundert sich evl. über einige Unterschiede zu Kali Linux. Welche fallen zuerst auf?

Es gibt default kein raspi-config. Der Speicher der SD-Karte kann aber mit raspi-config sehr einfach expandiert werden. Deshalb ausnahmsweise ein paar Packages, die nicht von Kali stammen, wie folgt installieren mit dem root User:

Dann gibt es unter Kali kein /boot Verzeichnis mit den Boot Dateien. Das /boot Verzeichnis ist dort leer. Das /boot Verzeichnis liegt auf einer anderen Partition und zwar auf mmcblk0p1. Deshalb ein Verzeichnis z.B. /boot-bereich anlegen und mounten. Dann können diese Dateien bearbeitet werden.

Kali boot Bereich
Kali boot Bereich

Wenn die Dateien bearbeitet wurden, einfach das Verzeichnis wieder umounten.

Welche Unterschiede fallen Euch auf? Gern als Kommentar.

Raspberry Pi Wardrive: Kismet compilieren und WLANs auf Google anzeigen

Da es auf Debian wheezy noch nicht das aktuelle Kismet Package gibt, hier die Anleitung wie es compiliert und installiert werden kann.

Wenn der GPS Empfänger über gpsd läuft und wie bei mir nicht an dem USB Port hängt, müssen in /usr/local/etc/kismet.conf noch folgende Einstellungen gemacht werden.

Gestartet wird Kismet bei mir über ein kleines bash Script start-wardrive.sh:

Für die Auswertung kann man das Python Script zum umwandeln einer NETXML Datei in das KML Format verwenden, es geht wie folgt
„Raspberry Pi Wardrive: Kismet compilieren und WLANs auf Google anzeigen“ weiterlesen