Um zu checken ob der Raspberry Pi vom CVE betroffen ist (siehe diesen Artikel),
folgende 3 Befehle ausführen: „Check des Raspberry Pi auf Hintertür in xz-Bibliothek (liblzma, SSH Hack, CVE-2024-3094)“ weiterlesen
Neue Version 12.5.2 vom Tor-Browser
Der Tor Browser ist ein Webbrowser, der entwickelt wurde, um die Privatsphäre und Anonymität der Benutzer beim Surfen im Internet zu schützen. Seit drei Wochen gibt es nun eine neue Version. Hier sind die einige Punkte über den Tor Browser: „Neue Version 12.5.2 vom Tor-Browser“ weiterlesen
Apple HEIC nach EXR für Blender World Hintergrund auf Mac generieren
Das High Efficiency Image File Format (HEIF) von Apple kann auf einem Mac leicht in das EXR-Format umgewandelt werden, welches für Blender verwendet werden kann.
Dafür muss die HEIC Foto Datei nur in der Vorschau App geöffnet werden und in dem gewünschten Format exportiert werden über Ablage – Exportieren „Apple HEIC nach EXR für Blender World Hintergrund auf Mac generieren“ weiterlesen
Höhenprofile berechnen mit HeyWhatsthat nicht nur für Planespotter
Ein wichtiger Aspekt bei Outdoor-Aktivitäten wie Wandern, Radfahren oder Bergsteigen ist die genaue Kenntnis des Höhenprofils der gewählten Route. Das Höhenprofil gibt Auskunft über die Anstiege, Abstiege und insgesamt die Höhendifferenz entlang des Weges. Es ist daher unerlässlich, ein zuverlässiges Werkzeug zur Berechnung von Höhenprofilen zu verwenden, um sich auf die Herausforderungen der Strecke vorzubereiten. Eine beliebte Option für diese Berechnungen ist die Website HeyWhatsthat.
HeyWhatsthat ist eine kostenlose Online-Plattform, die es Benutzern ermöglicht, Höhenprofile für beliebige Routen auf der ganzen Welt zu erstellen. Das Besondere an HeyWhatsthat ist die Verwendung von Geländedaten, die auf dem Shuttle Radar Topography Mission (SRTM) basieren. Diese Daten bieten eine hochgenaue Darstellung der topografischen Merkmale der Erdoberfläche. Hier mal das Profile von mir in Richtung Brocken:
Die Verwendung von HeyWhatsthat ist denkbar einfach. Zunächst muss der Benutzer die gewünschte Route auf einer interaktiven Karte markieren. Dies kann entweder durch manuelles Zeichnen des Pfads oder durch das Hochladen eines GPS-Tracks erfolgen. Sobald der Pfad festgelegt ist, kann der Benutzer das Höhenprofil berechnen lassen. „Höhenprofile berechnen mit HeyWhatsthat nicht nur für Planespotter“ weiterlesen
Es gibt übrigens ein Tor-Browser update
Der Tor Browser ist ein kostenloser, Open-Source-Webbrowser, der für ein Höchstmaß an Anonymität und Privatsphäre beim Surfen im Internet entwickelt wurde. Der Name „Tor“ steht für „The Onion Router“, da der Browser auf einer Technologie namens Onion Routing basiert, die den Datenverkehr über ein Netzwerk von Servern leitet, um die Identität und den Standort des Nutzers zu verschleiern.
Der Tor Browser ist für eine Vielzahl von Plattformen verfügbar, einschließlich Windows, macOS, Linux und Android. Er kann einfach heruntergeladen und installiert werden, ohne dass spezielle Konfiguration oder technisches Fachwissen erforderlich ist.
Durch die Verwendung des Tor-Netzwerks ist der Browser in der Lage, den Datenverkehr des Nutzers zu verschlüsseln und durch mehrere Knotenpunkte zu leiten, bevor er die gewünschte Website erreicht. Dadurch wird es äußerst schwierig für Dritte, die tatsächliche Identität oder den Standort des Nutzers zu ermitteln.
Neben der Anonymität bietet der Tor Browser auch Funktionen wie das Blockieren von Tracker-Cookies, das Verhindern von Fingerprinting-Techniken und das automatische Löschen von Daten beim Beenden des Browsers.
Es ist wichtig zu beachten, dass der Tor Browser keine absolute Anonymität bietet und dass einige Websites möglicherweise bestimmte Aktivitäten blockieren oder einschränken, wenn sie den Datenverkehr von Tor-Knotenpunkten erkennen. Darüber hinaus kann die Verwendung von Tor auch die Geschwindigkeit des Browsing-Erlebnisses beeinträchtigen.
Insgesamt ist der Tor Browser eine wichtige Option für Nutzer, die ihre Privatsphäre schützen und ihre Anonymität im Internet wahren möchten. Es ist jedoch auch wichtig, sich der Grenzen und Einschränkungen bewusst zu sein und geeignete Vorsichtsmaßnahmen zu treffen, um sicherzustellen, dass die gewünschten Ergebnisse erzielt werden.
REST-Service absichern mit Helmet in 5 Minuten und 2 Zeilen Code
In diesem Beitrag, hatte ich gezeigt, wie man in 5 Min. einen REST-Service erstellen kann. Wer noch 5 Minuten über hat, kann den Service auch sicherer machen mit Helmet.
Helmet ist ein Express.js-Modul, das es Entwicklern ermöglicht, sicherheitsrelevante HTTP-Header für ihre Anwendungen zu setzen. Es ist einfach zu installieren und zu verwenden und kann in 2 Zeilen Code integriert werden.
Helmet setzt eine Reihe von HTTP-Headern, die die Sicherheit Ihrer Webanwendung erhöhen können, indem sie gefährliche Verhaltensweisen von Browsern und anderen Clients verhindern. Einige Beispiele für die von Helmet gesetzten Header sind:
- X-XSS-Protection: Schaltet den XSS-Schutz (Cross-Site Scripting) im Browser ein.
- X-Frame-Options: Verhindert, dass die Anwendung in einem Frame oder einem iframe geladen wird, was eine Art von Angriff namens „Clickjacking“ verhindert.
- X-Content-Type-Options: Verhindert, dass der Browser die MIME-Type einer Ressource automatisch erkennt, was eine Art von Angriff namens „MIME-Sniffing“ verhindert.
- Content-Security-Policy: Legt Regeln fest, die festlegen, welche Ressourcen von einer Seite geladen werden dürfen und welche nicht, was dazu beiträgt, Cross-Site-Scripting-Angriffe zu verhindern.
Es gibt noch viele andere Header die helmet setzt, um die Sicherheit zu erhöhen.
Diese Schritte sind nötig, in dem Verzeichnis von dem Projekt:
1. installieren von helmet (github.io)
|
1 |
npm install helmet |
2. Helmet im Code aufrufen
|
1 2 3 |
const helmet = require('helmet'); app.use(helmet()); |
Wenn der REST-Server gestartet wird ohne helmet, sieht der Header so aus:
und mit helmet, es sind die Header gesetzt: „REST-Service absichern mit Helmet in 5 Minuten und 2 Zeilen Code“ weiterlesen
JSON Web Token mit Java (JWT) erzeugen ist nicht schwer mit JJWT
Ein Web-Token ist mit Java schnell erzeugt…. „JSON Web Token mit Java (JWT) erzeugen ist nicht schwer mit JJWT“ weiterlesen
Elliptische Kurve Curve25519 mit Java auf dem Raspberry Pi 4
Elliptische Kurven mit Java auf dem Raspberry Pi nutzen.
Das geht mit der curve25519-java implementation auch auf einem Raspberry Pi.
Wir erstellen mal ein kleines Beispiel, mit dieser Lib. „Elliptische Kurve Curve25519 mit Java auf dem Raspberry Pi 4“ weiterlesen
Zensus 2022 – Volkszählung
Probleme mit Zensus 2022 Online Seite. Habe mir das Zertifikat auch mal angeschaut:
Details hier bei Heise.
BIP39 oder „From mnemonic to seed“ oder 340 Undezillion 282 Dezillion 366 Nonmillion 920 Oktillion 938 Septillion 463 Sextillion 463 Quintillion 374 Billiarde 607 Billionen 431 Milliarden 768 Millionen 211 Tausend 456
In drei Block-Beiträgen hatte ich schon von einem NodeRed Node geschrieben, den ich mal programmiert hatte. Damit kann man leicht 12 Wörter aus der Wortliste die aus 2048 englischen Wörtern besteht erzeugen. Die Wortliste gibt es aber auch in japanisch, koreanisch, spanisch, chinesisch, französisch, italienisch, tschechisch und portugiesisch.
Wir haben mal beispielhaft diese 12 Wörter generiert:
shiver machine depth spoil click mind solid angle spoon menu moon two
Das entspricht diesen BIP39 Seed in Hex:
964d44c0f02d265fa5326e3c791d7f44e01eefeaaca5e17d06dcdad63543a32b21767852cf77631afaec2457a3c5b731cd56c9e2fd7678506ca82ccac06af659
12 Wörter haben eine Entropie 128 Bit und eine Checksumme von 4 Bit (= 132 Bit). Bei 24 Wörtern sind es schon 256 Bit Entropie und 8 Bit Checksumme (= 264 Bit).
Bei 12 Wörtern aus 2048 ergibt sich 2048^12 = 2^132 Möglichkeiten. Wie groß ist die Zahl? Wir fragen mal Google: „BIP39 oder „From mnemonic to seed“ oder 340 Undezillion 282 Dezillion 366 Nonmillion 920 Oktillion 938 Septillion 463 Sextillion 463 Quintillion 374 Billiarde 607 Billionen 431 Milliarden 768 Millionen 211 Tausend 456“ weiterlesen
Java: Zero Day Exploit in log4j mit schwere von 9,8 von 10 auf der CVSS Skala
Nutzt jemand Log4J in Java? Wohl jeder;-) Z.B. Apple, Twitter und Tesla wie hier die Hacks gesammelt werden.
Dann mal schnell auf Version 2.15.0 updaten, die heute veröffentlicht wurde. Wegen dem Zero Day Exploit.
Auf Heise und auch hier auf dem Securityboulevard gibt es einen ausführlichen Artikel wie es geht. Und auch das BSI warnt nun mit Warnstufe Rot.
ua-parser-js updates garantieren keine Sicherheit und installiert Krypto-Miner auch auf Raspberry Pi? – allow a remote attacker to obtain sensitive information or take control of the system.
Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Wie Golem eben berichtet, sind Daten von 106 Millionen Thailand-Reisenden geleakt. In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren – inklusive Reisepassnummern. Quelle: Golem. Habe auch schon den Misbrauch einiger Daten gewundert und gut das ich einenen neuen Pass habe 😉
CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen
Hier hatte ich beschrieben, wie ein 521-Bit private Elliptic Curve Cryptography (ECC) Key erzeugt werden kann. Mit diesem privaten Key können wir auch leicht eine CA-Zertifikat erzeugen. Einfach in dem Verzeichnis mit dem privaten Key ein:
openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out ecc-cacert.pem
eingeben und diese Fragen beantworten (oder einfach Return, dann wir der default verwendet).
Zuerst zweimal das gleich gutes Passwort eingeben. Wichtig ist auf jeden Fall der Common Name (e.g. server FQDN or YOUR name) Z.B. www.wenzlaff.de oä. und dann:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:Niedersachsen Locality Name (eg, city) []:Langenhagen Organization Name (eg, company) [Internet Widgits Pty Ltd]:TW-Soft Organizational Unit Name (eg, section) []:TW-Soft CA-Zertifikat Common Name (e.g. server FQDN or YOUR name) []:pi-zero Email Address []:info-anfrage@wenzlaff.de Warning: No -copy_extensions given; ignoring any extensions in the request |
Und schon liegt ein CA-Zertifikat in der Datei ecc-cacert.pem.
Die kann mit cat ecc-cacert.pem angesehen werden: „CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen“ weiterlesen
Webserver Sicherheit überprüfen mit nikto
Wer einen eigenen Webserver laufen hat, kann mit nikto einen Sicherheitscann ausführen.
Nikto ist ein in Perl geschriebener Open Source Web Server Scanner. Nikto testet Web Server auf über 7800 potentiell schädliche Dateien und Programme und prüft über 1250 Server-Versionen auf ihre Aktualität und weist bei über 270 Server-Versionen auf bekannte Sicherheitslücken hin. Der Scanner prüft Header und versucht ausserdem, ausnutzbare Fehler und Defaults in der Webserver-Konfiguration aufzudecken. Nikto schickt ca. 7800 GET-Requests an den Webserver, um auf das Vorhandensein unsicherer Inhalte zu prüfen, richtet also keinen Schaden an.
Der ist schnell auf dem Raspberry Pi installiert mit:
sudo apt-get install nikto
Es wir die v2.1.5 installiert. Das kann mit
nikto -Version überprüft werden. Es wird die ausgegeben: „Webserver Sicherheit überprüfen mit nikto“ weiterlesen
Firewall in 10 Minuten einrichen mit UFW (Uncomplicated firewall) nicht nur auf dem Raspberry Pi
Eine Firewall ist auf dem Raspberry Pi schnell mit dem UFW eingerichtet und kann die Sicherheit verbessern.
Die Firewall UFW muss nur installiert werden mit:
|
1 2 3 |
sudo apt-get update sudo apt-get upgrade sudo apt-get install ufw |
Nun schalten wir zuerst den ipv6 auf no in der Datei /etc/default/ufw, da er bei mir nicht verwendet wird. „Firewall in 10 Minuten einrichen mit UFW (Uncomplicated firewall) nicht nur auf dem Raspberry Pi“ weiterlesen
Bitcoin heute über 60.000 Dollar: Free Wallet Wiederherstellungs Vorlage für Bitcoin ua. Wallets (Wallet Recovery Sheet Template)
Heute ist der Bitcoin Kurs zum ersten mal auf über 60.000 Dollar bzw. 50.000 Euro gestiegen. Jetzt ist er gerade bei:
wie das NodeRed Dashboard vom Raspberry Pi im Docker anzeigt. Digitalwährungen wie Bitcoin gelten als riskante Geldanlagen, da sie im Kurs teils erheblich schwanken. Habe für alle Leser mal ein Backup Wallet Formular designt: „Bitcoin heute über 60.000 Dollar: Free Wallet Wiederherstellungs Vorlage für Bitcoin ua. Wallets (Wallet Recovery Sheet Template)“ weiterlesen
Bitcoin: Public Key hashen mit SHA-256 und dann RIPEMD-160
Der public Key wird zunächst mit SHA-256 gehasht. Der Output dieser kryptografischen Hashfunktion wird dann mit RIPEMD-160 gehasht, einer anderen kryptografischen Hashfunktion, die als Output eine 160 Bit (20 Byte) lange Zahl erzeugt. Wir nennen diesen letzten Hash den public Key Hash (PKH). Wie hier im BPMN Flow dargestellt: … „Bitcoin: Public Key hashen mit SHA-256 und dann RIPEMD-160“ weiterlesen
Auf der Terrasse sitzen geht wegen 0,5 Meter Schnee nicht, deshalb Ripemd-160 eine Millionen check
Auf der Terrasse sitzen geht wegen 0,5 Meter Schnee nicht
deshalb Ripemd-160 JUnit Test mit eine Millionen check implementiert. … „Auf der Terrasse sitzen geht wegen 0,5 Meter Schnee nicht, deshalb Ripemd-160 eine Millionen check“ weiterlesen
Mal was anderes als Schnee und Glatteis: Salzen mit SHA-256 in Java
Kryptografische Hashfunktionen können zur Integritätsprüfung verwendet werden, um Änderungen in Daten festzustellen. Bitcoin verwendet kryptografische Hashfunktionen sehr ausgiebig, um zu überprüfen, dass sich Daten nicht geändert haben. Zum Beispiel wird immer ab und zu – durchschnittlich alle 10 Minuten – ein neuer Hash der gesamten Zahlungsgeschichte erzeugt. Wenn jemand versucht, diese Daten zu ändern, wird dies sofort von jedem, der die Hashes überprüft, bemerkt.
Grundlegenden Eigenschaften von Hash:
-Gleiche Eingabedaten erzeugen den gleichen Hash.
-Leicht unterschiedliche Eingabedaten erzeugen sehr unterschiedliche Hashes.
-Der Hash hat stets eine feste Länge. Bei SHA256 sind dies 256 Bits.
-Die Holzhammermethode Trial-and-Error ist der einzige bekannte Weg, einen Input zu finden, der einen bestimmten Hash erzeugt.
Hier mal ein kleines Java Beispiel mit unterschiedlichen Libs und pur Java: … „Mal was anderes als Schnee und Glatteis: Salzen mit SHA-256 in Java“ weiterlesen
Java Bitcoin: BIP39 Mnemonic Generierung mit Adressen mit Java auf einem Raspberry Pi in 1 Minute – Crypto BPMN
Wie kann man für Bitcoin die geheimen Wörter, private und public Key und Adressen mit Java auf einem Raspberry Pi generieren? Hier mal ein Beispiel. Zuerst ein BPMN für den Überblick wie es läuft.
Das geht in 1 Minute, mit diesen drei Schritten auf der Komandozeile … „Java Bitcoin: BIP39 Mnemonic Generierung mit Adressen mit Java auf einem Raspberry Pi in 1 Minute – Crypto BPMN“ weiterlesen
Java: Ausgabe Methode aller im System bekannten Security Providers oder safety first
Wer mal alle Security Provider im System ausgeben will, kann diese Methode verwenden:
|
1 2 3 4 5 6 7 8 |
private static Provider[] getSecurityProviders() { System.out.println("Alle " + Security.getProviders().length + " im System bekannten Security Provider:"); Provider[] provider = Security.getProviders(); for (int i = 0; i < provider.length; i++) { System.out.println(provider[i].getInfo()); } return provider; } |
Ergebnis auf einem Test-System: „Java: Ausgabe Methode aller im System bekannten Security Providers oder safety first“ weiterlesen
Nmap auf den Raspberry Pi selbst compilieren
Nmap gibt es seit dem 9.10.2020 schon in Version 7.91. Wenn man Nmap wie im letzten Beitrag installiert mit apt-get install nmap wird nur die Version 7.7 aus dem Jahr 2018 installiert. Wer die neue Version 7.91 braucht kann sie auch in ein paar Minuten selbst compiliern.
Das geht so:
nmap scan von xml to html mit xsltproc auf Raspberry Pi mit Debian (Kali)
Es muss nicht immer Kali sein. Auch FFP2-Masken schützen keine Rechner, da muss man schon aktiv nach Sicherheitslücken suchen und stopfen. Auch ein Raspberry Pi mit Debian geht für das Scannen von Netzwerken mit nmap. Heute wollen wir das Ergebnis des Sicherheits-Scanns mal in eine lesbare HTML-Form mit xsltproc transformieren. Das geht in ein paar Minuten.
Der Aufbau soll sein:
Dann mal los, es sind nur 5 Schritte nötig:
1. Installieren von nmap und xsltproc „nmap scan von xml to html mit xsltproc auf Raspberry Pi mit Debian (Kali)“ weiterlesen
WLAN Passwort aus wpa_supplicant.conf entfernen
Wenn in der /etc/wpa_supplicant/wpa_supplicant.conf eines Raspberry Pi noch das WLAN-Passwort im Klartext steht, kann das optional durch einen Key ersetzt werden. Der Key kann einfach als ROOT erstellt werden:
|
1 2 |
sudo -i wpa_passphrase "WLAN-NAME" "WLAN-PASSWORT" >> /etc/wpa_supplicant/wpa_supplicant.conf |
Dann noch die auskommentierte Passwortzeile löschen, wie hier ausführlich beschrieben.
Video zum 10-millionsten Download der Corona-Warn-App: Bluetooth Scann mit dem Raspberry Pi für Wireshark
Hier mal ein 6 Minuten live Video zum 10-millionsten Download der Corona-Warn-App. Ein Bluetooth Scann mit dem Raspberry Pi für Auswertung mit Wireshark …
Videokonferenz auf dem Raspberry Pi mit Jitsi?
Jetzt ist die Zeit der Videokonferenzen (covid-19, home office). Da da es bei Zoom viele Sicherheitslücken (heise.de spricht von Sicherheitsalptraum) gibt und es nicht auf einen eigenen Rechner laufen kann, könnte man das OpenSource Jitsi verwenden.
Hier gibt es eine Anleitung „Videokonferenz auf dem Raspberry Pi mit Jitsi?“ weiterlesen
Dork mit sqliv auf dem Raspberry Pi unter Debian
Eine Google-Dork-Abfrage (oder Bing, …) beziehungsweise abgekürzt ein Dork ist eine spezielle Suchabfrage, die fortgeschrittene Parameter von Suchmaschinen wie Google, Bing usw. nutzt, um Informationen aus einer Webseite herauszufiltern, die anders nicht so leicht verfügbar wären. Dazu gehören auch Informationen, die nicht für die Öffentlichkeit gedacht sind und die nur unzureichend geschützt wurden.
Google-Dorking ist ein passiver Angriff, mit dem sich Nutzernamen, Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten und Sicherheitslücken auf Webseiten herausfinden lassen.
Mit dem sqliv ist es leicht solche Abfragen zu automatisieren.
Wie kann das Python-Script auf Debian (wozu Kali 😉 installiert werden: „Dork mit sqliv auf dem Raspberry Pi unter Debian“ weiterlesen
Sicherheit: macOS-Terminalemulator iTerm2 updaten
Wie kann dein Google Kalender in 3 Minuten vor Spammern geschützt werden?
Die Kalender Einstellungen des Google Kalenders ermöglichen es Spammern defalult leicht Termine einzustellen die man nicht will (SPAMM). Wer unerwünschte Termine oder Einladungen erhält, kann es etwas eindämmen. Dazu diese Einstellungen anpassen unter Einstellungen und Allgemein:
Un dann die rot markierten Optionen abwählen bzw. Nein wählen, so das es ungefähr so aussieht: „Wie kann dein Google Kalender in 3 Minuten vor Spammern geschützt werden?“ weiterlesen
Gemeldete Telekom Sicherheitslücke mit Prepaid Karten immer noch in der „Hall of Fame“ vermerkt
Die Telekom hat immer noch eine von mir gemeldete Sicherheitslücke in ihren Prepaid Karten verlinkt. Auch wenn die Sicherheitslücke von tausenden Betroffenen Karten als Verpackungsfehler (Aus meiner sicht verschleiern) deklariert wird.
Aber immerhin gibt es in der Hall auf Fame immer noch diesen Eintrag (Stand: 20.05.2019):
Hier der Link zur Dankseite der Telekom. Na ja, eine Zeile ist besser als nichts! Oder? 😉
Java Sicherheits Quickie: final
Wie kann ein VPN-on-Demand Profil auf das neuen IPhone X bzw. IPad Pro mit webdav installiert werden?
Früher konnte man sich die VPN.mobileconfig Datei einfach (aber unsicher) per E-Mail zusenden und installieren. Das geht nun nicht mehr.
Jetzt kann die Datei z.B. auf die Cloud (verschlüsselt) geladen und von dort mit dem Safari Browser per Web-Dav geöffnet werden. Das geht so:
1. Die VPN.mobileconfig (xml Textdatei) mit den kostenlosen Apple Configurator 2 oder per Hand erstellen (siehe hier auf dem Blog).
2. An die Cloud mit Webdav zugang anmelden (mit User und Passwort) und die VPN.mobileconfig kopieren z.B. nach https://webdav.mediencenter.t-online.de
Kommentarfunktion für Blog abgeschaltet und History gelöscht!
Für diesen und alle meine anderen Blogs habe ich nun die Kommentarfunktion ganz abgeschaltet und alle alten Kommentare unwiederbringlich gelöscht. Damit sind nun auch keine E-Mail bzw. Web-Adressen der Kommentargeber oder auch IPs gespeichert. Alle Fotos bzw. Avatare sind nun auch gelöscht.
Die Statistik Plugins wurden auch abgeschaltet, und die Tabellen davon gelöscht, so das keine persönlichen Daten mehr gespeichert sind und werden.
Die Social Media like Buttons wurden ja schon vor langer Zeit entfernt.
Auch die Bilder für Referenzen als Counter für div. Blogdienste wurden entfernt. Wer diese Seite weiterhin lesen will, kann das ja direkt und nicht über Blogdienste tun. Oder den RSS-Feed abonnieren.
Vielen Dank, für die über 1000 Beiträge in der Vergangenheit.
Wer jetzt Kommentare, Vorschläge, Verbesserungen usw. zu einzelnen Beiträgen geben will, kann das gern per E-Mail (siehe Kontakt) tun.
Wie können 433 Mhz Signale von PKWs (Reifen, Zentralveriegelung) per MQTT auf einen Raspberry Pi auswertet werden?
In diesem Blogbeitrag hatte ich schon mal beschrieben, wie man mit einem Softwarenradio Temperatursensoren und Luftruck von Autoreifen (TPMS) uä. auf 433,92 Mhz empfangen kann. So kann man alle Autos über die Reifensensoren oder aber auch über die Schließanlangen tracken, da immer eine eindeutige ID versendet wird.
Datenschutz läßt grüßen.
Die Empfangsanlage steht mit Sicht auf die Straße, da für 433 Mhz nur die maximal zulässige äquivalente Strahlungsleistung von 10 mW ERP für die Funkanwendungen mit geringer Reichweite (SRD) verwendet werden darf.
Hier der Aufbau, mit Leistungsmessung und Accu. „Wie können 433 Mhz Signale von PKWs (Reifen, Zentralveriegelung) per MQTT auf einen Raspberry Pi auswertet werden?“ weiterlesen
Gravierende Prozessor-Sicherheitslücke: Raspberry Pi von Meltdown und Spectre (bisher) nicht betroffen
So wie es im Moment aussieht, sind alle Versionen vom Raspberry Pi (zum jetzigen Zeitpunkt) nicht von der Meltdown und Spectre Sicherheitslücke betroffen.
Das kann man aus diesem Post (engl.) entnehmen, da die Pi Prozessoren „Gravierende Prozessor-Sicherheitslücke: Raspberry Pi von Meltdown und Spectre (bisher) nicht betroffen“ weiterlesen
Sicherheit: gpg (GnuPG) Key Verwaltung mit pass auf dem Raspberry Pi oder sonst wo oder cooler kostenloser Passwort Manager für Raspberry Pi
Wer einen Passwort Manager braucht, kann pass verwenden. Den gibt es kostenlos für alle Betriebssysteme. Die Passwörter werden alle mit gpg Verschlüsselt und liegen in ~/.password-store so das sie leicht verwaltet werden können. Die Passwörter können mit unix shell Kommandos so leicht verwaltet werden. Auch eine bash Auto-Vervollständigung gibt es. Auch eine Git Integration ist möglich.
Wenn noch kein gpg Key auf dem Raspberry Pi angelegt wurde oder auch sonst noch keiner vorhanden ist, diesen einmal mit
|
1 |
gpg --gen-key |
erzeugen. Es muss nur der Name und die E-Mail Adresse angegeben werden, nach einem O muss man ein paar Minuten warten, bis der Key erzeugt wurde: „Sicherheit: gpg (GnuPG) Key Verwaltung mit pass auf dem Raspberry Pi oder sonst wo oder cooler kostenloser Passwort Manager für Raspberry Pi“ weiterlesen
Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)
Sicherheit in Java-Projekten. Datenlecks in Java-Code entdecken. Reports mit bekannten Sicherheitslecks können leicht erstellt werden. Hier mal ein Beispiel Report im HTML Format:
Grundlage bildet die National Vulnerability Database (NVD) Datenbank für Sicherheitslücken, die vom National Institute of Standards and Technology (NIST) gepflegt wird. Wie können solche Reports erstellt werden?
Einfach in der Maven pom.xml das folgende Plugin DependencyCheck ergänzen: „Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)“ weiterlesen
Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi
Mal etwas zur Entspannung. Manchmal will man wissen ob ein Server erreichbar ist. Dafür gibt es das Kommandozeilen Programm ping. Wenn man diesen ping z.B. alle 5 Minuten ausführt hat man eine leicht Überwachung ob der Server noch erreichbar ist. Gesagt getan. Einen kleinen flow der alle 5 Minuten einen Ping ausführt und bei Veränderung eine Pushover Nachricht auf das Handy sendet.
So kann der Flow zusammen geklickt werden:
Im hellgelben „adv ping Node“, kann die IP-Adresse angegeben werden. Im „function Node“ wird der Ping ausgewertet. „Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi“ weiterlesen
Video DIY USB Passwort Generator mit Attiny 85
Vor ein paar Tagen hatte ich schon mal den ATTINY 85 vorgestellt.
Das ist ein cooles Teil mit USB und das für 1 Euro. Er emuliert eine Tastatur (HID).
Also mal ein weiteres Programm, für folgendes Problem. Wer lange und komplizierte Passwörter verwendet, hat mit unter keine Lust, sie immer wieder einzugeben. Das ist auch fehleranfällig. Oder man möchte jemand anderes an seinen Rechner lassen, und ihn nicht das Passwort geben. Also gibt man den Generator weiter.
Wir erstellen also ein Programm, das das Passwort automatisch an den Rechner sendet. Man muss dann natürlich auf das Teil aufpassen, das es nicht in falsche Hände kommt. Wir senden nur einmal, das gespeicherte Passwort. Hier mal ein 45 Sekunden Demo Video:
Hier das C-Programm, es ist ein sehr einfaches Programm mit ein paar Zeilen: „Video DIY USB Passwort Generator mit Attiny 85“ weiterlesen
iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?
Auch mit dem neuen iPad Pro und iOS 9.1 läuft VPN on Demand so wie in dem Beitrag schon einmal erwähnt (auch hier). Es sind keine Änderungen an der config Datei nötig, obwohl es einige Neuerungen gab, „iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?“ weiterlesen
Raspberry Pi: Wie kann die History gelöscht werden, um neue Passwörter zu schützen?
Über die History können evl. erstellten Passwörter ausgelesen werden.
Z.B. ein Auszug der History:
|
1 2 3 4 5 6 7 |
1 history 2 print passwort GEHEIM 3 history 4 ls 5 ls -la 6 ls 7 history |
Das löschen ist einfach und schnell:
|
1 |
history -c |
Aber besser ist es noch, die Passwörter gar nicht erst in der History erscheinen zu lassen, das geht mit einem oder mehrerer Space (Leerzeichen) vor dem Befehl z.B.
|
1 |
(Space) ls -la GEHEIM |
Raspberry Pi: Wie kann WordPress mit Datenbank (MySQL) und Server (Nginx) vorkonfiguriert installiert werden? Mit PressPi!
Das vorkonfigurierte Image von PressPi enthält WordPress mit Datenbank und Server (Nginx). Das ganze kann wirklich leicht zum laufen gebracht werden. Es läuft unter Debian Wheezy
Linux presspi 3.18.7+ #755 PREEMPT Thu Feb 12 17:14:31 GMT 2015 armv6l GNU/Linux
1. Download von http://presspi.com/ das PressPi_v2.2.zip und die enpacken, so das eine PressPi_v2.2.img Datei entsteht.
2. Das PressPi_v2.2.img (7,9GB) auf die SD-Karte kopieren mit:
|
1 2 3 4 5 6 |
# alle Disk ausgeben diskutil list # die SD-Karte unmounten sudo diskutil unmountDisk /dev/disk3 # den Kopier Vorgang starten mit sudo dd if=PressPi_v2.2.img img of=/dev/disk3 bs=512k |
Nach der Installation sind auf der 8 GB Karte noch 45% Speicher für Nutzerdaten frei.
3. Nach der Installation und booten und anmelden mit SSH User: pi Passwort: raspberry, den SD-Karten Speicher auf die maximale SD-Karten Größe anpassen und gleich das Passwort ändern:
|
1 |
sudo raspi-config |
Aufruf im Browser mit der PI-ADRESSE liefert:
Der Server läuft und weiter unten gibt es die folgenden Angaben: „Raspberry Pi: Wie kann WordPress mit Datenbank (MySQL) und Server (Nginx) vorkonfiguriert installiert werden? Mit PressPi!“ weiterlesen
Kali Linux: WordPress Security Scanner wpscan
Wer gerade seinen Raspberry Pi mit Kali laufen hat, kann mal eben seinen WordPress Blog auf Sicherheitslücken testen mit dem Ruby wpscan. Bei Kali ist es schon installiert aber auch bei anderen Linux derivaten kann er installiert werden. Was kann der Scanner so:
- Alle installierten Plugins listen
- Namen des Themas ausgeben
- Verzeichnis Listing
- Versions ausgabe
- Bruce force Usernamen
- Sicherheitslücken ausgeben
- …
Also erst einmal den Scanner (es gibt jetzt auch die Version 2.8) updaten mit:
|
1 2 3 4 5 |
wpscan --update # Scann starten, dauert ein paar Minuten, Domain ersetzen wpscan --url http://DOMAIN --random-agent --enumerate # oder nur die Plugins Listen wpscan --url www.DOMAIN.de --enumerate |
Ok, jetzt testen wir mal gegen unseren eigenen WordPress Blog, und nur gegen den, ob das Passwort für admin sicher ist:
|
1 2 3 4 5 6 7 |
# ein Wörterbuch laden wget http://static.hackersgarage.com/darkc0de.lst.gz # ein Wörterbuch entpacken gunzip darkc0de.lst.gz # Scan starten wpscan --url www.DOMAIN.com --wordlist /pfad/zu/darkc0de.lst --username admin # und Stunden später ... |
Weitere Beispiele unter wpscan -help
WordPress: Was kann nach der Installation gelöscht werden?
In WordPress können nach der Installation folgende Dateien gelöscht werden:
- wp-config-sample.php
- readme.html
- liesmich.html
- /wp-admin/install.php
Kennt ihr noch weitere?
Urlaub: Position, Gesundheits und Sicherheits Info von Kreuzfahrtschiffen
Es naht für viele die Urlaubszeit. Wer eine Kreuzfahrt plant, möchte evl. wissen, wo das Schiff ist und welche Eigenschaften (z.B.Norwegain Perl) es hat. Das geht über die Cruisemapper Seite, die für alle Kreuzfahrtschiffe die jeweilige Position (z.B.Norwegain Perl) anzeigt. Das geht also nicht nur für Flugzeuge.
Auch die Gesundheits und Sicherheitsmeldungen können angezeigt werden z.B. für die Norwegian_Pearl
An alles gedacht? Visa für die USA?
Dann viel Spaß. Nach dem Motto, was ist das schönste Laub? Urlaub!
Raspberry Pi: Kismet ( قسمة ) installieren unter Debian (jessie)
Wie wird Kismet auf dem Raspberry Pi installiert? Zuerst mal eine Mindmap als Überblick zu Kismet:
Kismet wird wie folgt installiert, nachdem das System upgedated wurde:
sudo apt-get update
sudo apt-get upgrade
sudo apt-get install kismet
„Raspberry Pi: Kismet ( قسمة ) installieren unter Debian (jessie)“ weiterlesen
Raspberry Pi: Sicherheitsupdate CVE-2014-3634 für das Package rsyslog (version 5.8.11-3+deb7u1) vorhanden
Für Rsyslog gibt es für den Raspberry Pi (Debian, wheezy) ein Sicherheitsupdate.
Als Folge von dieser Schwachstelle kann ein Angreifer fehlerhafte Nachrichten an einen Server senden, wenn dieser Daten aus nicht vertrauenswürdigen Quellen annimmt. Damit könnte dann ein Denial-of-Service-Angriff gestartet werden. Das rsyslog hat diese Abhängigkeiten als Mindmap auf einem Raspberry Pi (jessie):
Update auf der Konsole wie gewohnt:
|
1 2 3 4 5 6 7 8 |
sudo apt-get update sudo apt-get upgrade # Optional: Version checken mit: apt-show-versions rsyslog # Ausgabe: # rsyslog/wheezy uptodate 5.8.11-3+deb7u1 |
Wie kann das Update für ShellShock auf den Mac installiert werden?
Der ShellShock zieht Kreise, nun gibt es auch ein update für Macs, wie bei Heise beschrieben.
Das Update muss aber manuell von Apple geladen und installiert werden.
Hier runter laden:
Dann doppelklick und folgende Dialoge bestätigen.
Nach der installation im Terminal checken ob der update geklappt hat:
|
1 |
bash --version |
Ausgabe:
Für den Raspberry Pi gibt es hier im Blog ein paar Links.
Wie kann das Sicherheitsupdate für die Linux-Bash (CVE-2014-6271) des Raspberry Pi gescheckt und installiert werden?
Wie in dem Heise Artikel beschrieben, gibt es in der bash eine Sicherheitslücke CVE-2014-6271.
Das sind die Abhängigkeiten der bash, auf meinem Raspberry Pi (Debian, Jessie)
Für den Raspberry Pi gibt es schon ein Update. Ob das System verletzbar ist kann wie folgt in der Konsole getestet werden:
|
1 |
env x='() { :;}; echo verwundbar' bash -c "echo Test ob die bash verwundbar ist." |
Wenn das System verletzbar ist, wird „verwundbar“ ausgegeben:
Auch mit:
|
1 |
apt-show-versions bash |
bekommt man den Hinweis, das ein Update möglich ist.
Also den rPi updaten mit:
|
1 2 |
sudo apt-get update sudo apt-get upgrade |
Dann noch checken, mit dem Test:
Ok.
Und noch mal die Version checken:
Ok, wir sind nun wieder auch der sicheren Seite oder doch nicht (ShellShock) (CVE-2014-7169).