freach's blog

Ich habe heute mal einen ausgiebigen Blick in die in 6 Tagen kommende Linux Distribution Ubuntu 7.10 geworfen. Und ich muss sagen, da hat sich verdammt viel getan und langsam lohnt sich ein Blick in die Linux Desktop Welt. Erst wollte ich eigentlich mein favorisiertes Debian nutzen, aber da bin ich dann an den einfach zu alten Paketen selbst im "Unstable-Tree" gescheitert. Nehmen wir mal Gnome als Beispiel. Die Gnome Version im "Unstable-Tree", ist jetzt schon älter als die aktuelle stabile Gnome Version auf gnome.org.
Ubuntu mag ich eigentlich nicht so, ist aber mehr eine Gefühlssache. Mit Compiz und schönen Effekten ist der Desktop aber direkt viel besser zu ertragen. Was auf jedenfall viel besser geworden ist, ist die Flashunterstützung vom Firefox. In Ubuntu 6.04 musste man noch mühsam nach dem richtigen Paket suchen, heute klappt das über den in Firefox integrierten Addon-Installer. Schön ist auch Deskbar Applet. Es ist im Prinzip ein Quicksilver, also Programm-Launcher für Gnome und funktioniert wunderbar. Die Hardwareerkennung ist auch wirklich gut geworden. Ich brauchte keine Sekunde mit Treiber kompilieren verbringen, es lief einfach sofort. Neu ist auch schreiben auf NTFS Partitionen und das AppArmor Framework. Ich denke, heute ist Premiere für den ersten ganzen Tag Linux Desktop ohne Wutanfall!

Vor zwei Tagen hatte ich einen "Sicherheits-Alarm" ausgelöst durch rkhunter. Insgesamt 60 Warnungen die besagten, dass mein System vollkommen übernommen wurde. Erste Reaktion ist immer ein bisschen Panik und direktes Überprüfen wie schlimm es nun wirklich ist. Eine gute Checkliste wie man Eindringlinge auf dem eigenen System erkennt gibt es bei Cert.

Intruder Detection Checklist

Bei mir hatte sich dann herrausgestellt, dass es nur ein Fehler seitens Rootkithunter war und das System vollkommen unberührt. Scheinbar macht rkhunter in Version 1.2.9 bei zwei gleichzeitigen Prozessen arge Probleme.

Auszug aus der Mailinglist zum Thema "missing stringstest.dat", was wohl mein Problem hervorgerufen hat.

The latest version does not use temporary files in this test (and others) because of problems they can cause. The only time I have had problems with this test, with RKH 1.2.9, was when I was running rkhunter more than once concurrently. The test then becomes confused and reports warnings. So if possible I would say upgrade to version 1.3.0.

Seit gut drei Jahren bietet VMWare ihre kostenlose Virtualisierungslösung VMWare Server. Der Hype um Virtualiserung ist groß und scheint vorerst auch nicht abzuklingen. Alle wollen ihre Server/Workstations/Desktop-PCs konsolidieren und Kosten sparen. Dabei greifen auch größere Unternehmen nicht unbedingt auf kommerzielle Lösungen zurück sondern mit Vorliebe auf kostenlose Produkte wie VMWare Server. Keiner scheint sich aber wirklich gedanken zu machen wie es mit der Sicherheit um solche Produkte bestellt ist. Da ich heute wieder mit erschrecken feststellen musste wie unsicher vor allem kostenlose Produkte sind, möchte ich ein wenig auf die Sicherheit von VMWare Server eingehen.
Zu erst möchte ich festhalten, was man mit Virtualisierung erreichen möchte. Man möchte viel Hardware effektiver auf weniger Hardware nutzen und dabei gleichen Funktionsumfang und Skalierbarkeit erhalten. Angeblich ist dies durch Virtualiserung gegeben und jedes System ist vom anderen abgeschottet. Problem dabei ist, es ist nicht so.

Hauptproblem bei der Virtualisierung ist, dass viele Systeme auf die gleiche Hardware zugreifen. Der Zugriff auf die Hardware der VMs wird durch einen Hypervisor geregelt. Die Sicherheit der VMs steht und fällt also mit der Sicherheit des Hypervisors. Sobald sich Sicherheitslücken im Hypervisor befinden, kann z.B. über Arbeitsspeicher oder CPU aus dem Gastsystem ausgebrochen werden.

Dadurch, dass viele VMs die gleiche Hardware nutzten sind auch Angriffe über Applikationen, die einen Absturz des Hostsystems ermöglichen nicht undenkbar. Jetzt werdet ihr zurecht sagen, solche Attacken werden über z.B. hohe Auslastung der CPU, oder Festplatten durch IO-Attacken erreicht. Physikalische Grenzen der nutzbaren Hardware sollte der Hypervisor begrenzen. Richtig, aber dieser ist auch nur Abhängig vom Hostbetriebssystem. So könnte man z.B. Attacken über eine VM auf den "Host Scheduler" durchführen um eine höhrere Priorität des Prozesses zu erreichen. Wenn es gut läuft werden die anderen VMs und damit auch das Hostsystem nur träger und langsamer, wenn es schlecht läuft stürzen die VMs oder sogar das gesamte Hostsystem ab.

Dies sind bisher Angriffe, die ein größeres Maß an Know-How vorraussetzten. Unmittelbar betroffen ist man aber im folgenden Szenario. Angenommen man betreibt Server und Arbeitsplätze virtuell auf einer Maschine und betreibt die Netzwerkschnittstellen der VMs im "Bridged Mode". Man hat also, als Inhaber eines virtuellen Arbeitsplatzes, rein theoretisch Zugriff auf die Hardware des gesamten Servers. Das schöne ist aber, man muss kein Experte sein um jetzt Daten der anderen Maschinen mitzuschneiden! Ein fataler Designfehler durch VMWare ermöglicht, durch den "Promiscuous Mode" der Netzwerkkarte und einen üblichen Sniffer das Mitschneiden von jedem Paket, das über die physikalische Netzwerkkarte des Hostsystems geht.

Beim Einsatz von Virtualisierung muss man also jetzt noch penibler auf die Sicherheit der virtualisierten Systeme achten, damit nicht eine Schwachstelle, zur Schwachstelle aller wird.
Gerade bei der kostenlosen Variante VMWare Server, sollte man einen Produktiveinsatz an Orten wo es um Sicherheit geht überdenken.

Weitere Infos zum Problem mit dem Linux "Host Scheduler" findet ihr im Artikel Secretly Monopolizing the CPU Without Superuser Privileges. Ein wunderbarer Vortrag zur Sicherheit in Virtualsierungslösungen fand auf der Defcon 15 statt und nannte sich Virtualization: Enough Holes to Work Vegas.

Wer vor Leopard schon virtuelle Desktops nutzen möchte hat mit VirtueDesktops die Möglichkeit dazu. VirtueDesktops unterstützt mehrere Desktops, Desktop Templates, das Beschriften der Desktops, Auswahl des Desktops über Shortcuts und verschiedene Effekte beim Wechsel des Desktops.
Jetzt muss ich nur noch rausfinden, wie ich die Desktops auch z.B. in Warcraft 3 TFT wechseln kann.

Am Montag, den 08.10.2007 strahlt der Radiosender WDR5 ab 20.05 Uhr eine Dokumentation über das Gerichtsverfahren der ehemaligen RAF-Mitglieder Andreas Baader, Gudrun Ensslin, Ulrike Meinhof und Jan-Carl Raspe aus. Dabei werden das Erste mal Teile von den Tonbändern der Verhandlung veröffentlicht. Der Prozess ist deshalb so interessant, weil er der Afang vom Untergang unseres Rechtsstaates war. Während der Verhandlung wurden in Eilverfahren Sondergesetzte durchgedrückt um die Wahlverteidiger vom Verfahren auszuschließen oder eine Verhandlung auch ohne Anwesenheit des Angeklagten durchführen zu können. Man hört auch von einem Otto Schily als Verteidiger der RAF, der später Innenminister werden sollte und die Weichen für die "Volksverknäbelung" mit gestellt hat.
Alles in allem eine Sache die mach sich anhören sollte!!!!!! Wenn man kein WDR5 empfängt, kann man dies auch über den Webcast von WDR5 tun.

Die Stammheim-Tonbänder

Nachdem Microsoft nun weiss was für Daten wir auf unseren Rechner speichern, auf welchen Webseiten wir uns aufhalten, welche politische Gesinnung wir haben und was für Produkte wir konsumieren, ist es jetzt an der Zeit zu wissen wie uns dabei geht! Laut eines Artikels auf golem.de will Microsoft nun in die Gesundheitsdatenverarbeitungsbranche einsteigen. Natürlich ist alles verschlüsselt und der Datenschutz liegt gerade Microsoft besonders am Herzen. Wers glaubt, ich würde sagen, Zeit um endlich das Betriebssystem zu wechseln, oder Windows auch das letzte bisschen Spyware raus zucracken.

Microsoft sammelt Gesundheitsdaten

Natürlich sind alle Angaben zur Spionage von Microsoft alles nur Spekulationen und keine bewiesenen Tatsachen. Sämtliche Äußerungen dazu darf man unter dem Recht der freien Meinungsäußerung verstehen.

Diese Frage stellte sich Lawrence Fortier in einem Artikel für den SANS Security Reading Room. Im Artikel geht es aber nicht wie sonst um Exploits oder Attacken, sondern um Sicherheit im weiteren Sinne. Sicherheit im weiteren Sinne ist in diesem Fall der Schutz von Daten durch die im Standart FIPS-140 definierten Anforderungen an eine Verbindung zu einem Webserver. FIPS-140 ist ein Standart zur Gestaltung einer Policy bezogen auf einen bestimmten Gültigkeitsbereich (Firma, Abteilung o.ä.) auf verschiedenen Ebenen. In dieser Policy muss festgelegt werden auf welcher Sicherheitsebene welche Absicherungen erfolgen soll. Bei dem Zugriff per Webbrowser mit aktiviertem FIPS-140 auf eine Webseite, die die in FIPS-140 definierten Sicherheitsmodule nicht zur Verfügung stellt, sollte die Kommunikation verweigert werden.
Der Internet Explorer und Firefox unterstützten FIPS-140. Bei den Tests stellte sich herraus, dass der Internet Explorer mit deaktivierten FIPS-140 einen niedrigeren Sicherheitsstandart als Firefox mit der Webseite aushandelt. Mit aktiviertem FIPS-140 und einer Seite die die erzwungenen Sicherietsalgorithmen nicht unterstützt, kann der Internet Explorer nicht auf die Seite zugreifen, Firefox jedoch scheint FIPS-140 einfach zu ignorieren, bietet die gleichen Sicherietsalgorithmen an und handelt auch den gleichen Algorithmus aus, als wäre FIPS-140 deaktiviert.
Da stellt sich die Frage, ob Firefox für sicherheitskritische Daten und entsprechenden Firmen-Policys zu gebrauchen ist?
Andererseits macht der Internet Explorer vielleicht dieses funktionierende Feature durch seine zahlreichen Sicherheitslücken wieder zu nichte?! Nur eine Suche in Bugtraq bestätigt, dass der IE weit aus mehr Probleme mit seiner Sicherheit hat als Firefox. Ich persönlich bleibe dabei, auch ohne FIPS-140 ist Firefox die richtige Wahl!

FIPS-140
Is Internet Explorer More Secure than Firefox?

Es ist etwas verspätet, aber manche Wissen noch nicht um die Problematik. Durch ein Urteil vom 27. März 2007 durch das Amtsgericht Berlin Mitte wurde erwirkt, dass dem Bundesjustizministerium die Speicherung von personenbezogenen Daten, also IP-Addresse und Co., auf deren Internetportal www.bmj.bund.de untersagt wird. Folge dieses Urteils könnte sein, dass bald alle Internetportale dazu angehalten sind, ihre Webserver Logdateien anonym zu halten. Was für Auswirkungen dieses Urteil auf das geplante Datenvorratsspeicherungsgesetz hat kann ich nicht abschätzen. Falls dieser Rechtsstaat aber noch ansatzweise existiert, könnte es Problematisch werden, dieses Gesetz durch zu bekommen.

Artikel auf daten-speicherung.de

Angeblich soll es ja nicht mehr lange dauern, bis der Nachfolger von Tiger, Mac OS X Leopard, veröffentlicht wird. Um einen kleinen Einblick in die neue Mac OS X Version zu gewähren habe ich hier mal die grundlegensten Neuerungen aufgelistet.

Desktop

Finder

Time Machine

Quick Look

Spaces

Safari 3

iChat

und iChat Preview

Mail

Dashboard
Im Dashboard können nun auch Videos abgespielt werden.

Boot Camp
Boot Camp ist ab Leopard fest in Mac OS X integriert.

Ob das alles so toll ist was sich da ändert bleibt jedem selbst überlassen. Ich für meinen Teil finde manche Features recht hübsch, die meisten Sachen sind aber wieder nur für die iPod Gesellschaft.

Ich arbeite seit Januar '07 mit Mac OS X und bin seitdem davon überzeugt, dass Mac OS X das Beste OS im Desktop und Workstation Bereich ist, dass man kriegen kann. Über iPod und Co. kann man streiten, ich persönlich besitze nicht mal einen und mag diese iPod Gesellschaft überhaupt nicht. Aber ich mag das sehr robuste und performante MacBook! Generell kann man sagen, dass Apple Hardware die robusteste und am besten verarbeiteste Hardware ist, die man im Moment kriegen kann. Zudem scheint sich die Genialität des Betriebssystems Mac OS X sogar auf die freie Software abzufärben.

Hier eine Liste, der von mir favorisierten Software für Mac OS X.
Browser
Firefox: Cross-Platform-Fähiger Webbrowser von Mozilla, sollte jeder kennen. - Kostenlos

RSS Reader
Vienna: RSS Reader im Stil von FeedReader. - Kostenlos

E-Mail
Thunderbird: Das ungeliebte Kind von Mozilla, für mich der Beste freie Cross-Platform-Fähige E-Mail Client. - Kostenlos

Programm-Launcher
Quicksilver: Ein Programm-Launcher, der Plugin-Fähig ist und damit nicht nur Programme, sondern auch URLs, Shell Kommandos oder Pfadangaben etc. verarbeiten kann. - Kostenlos

Texteditor
Textmate: Der mächtigste und beste Texteditor den ich kenne. Sehr schnell, super Features (z.B. Macro Recording). - Kommerziell 39€ (die sich absolut lohnen)

Passworttresor
KeePassX: Passworttresor mit Passwortgenerator, Verschlüsselter Datenbank, Passwort und Zertifikatsunterstützung etc. - Kostenlos

Backup
SuperDuper!: Werkzeug mit dem man Images von seiner Festplatte oder einzelnen Dateien erstellen kann. - Kostenlos (wenn man auf ein paar Features verzichten kann z.B. Scheduling, Smart Update oder Sandboxes)

IM
Psi: Cross-Platform-Fähiger Jabber/XMPP Client. - Kostenlos

Media Player
VLC: Cross-Platform-Fähiger Mediaplayer mit vielen integireten Codecs. - Kostenlos

Archivierung
StuffIt Expander: Werkzeug zum Dekromprimieren von Archiven. - Kostenlos

Terminal
iTerm: Tabbing-Fähiger Terminalemulator. Unterstützt Profile, Bookmarks usw. - Kostenlos

Benchmark
Xbench: Benchmark Tool für CPU, Speicher, HD, GUI usw. - Kostenlos
GeekBench: Cross-Platform-Fähiges Benchmark Tool für CPU, Speicher, HD usw. - Kostenlos

Finder-Zubehör
Witch: Finder-Erweiterung um "ALT+Tab" unter Fenstern und nicht nur unter Applikationen zu ermöglichen. - Kostenlos

FTP-Client
CyberDuck: SSL/TLS-Fähiger FTP-Client. Unterstützt FTP, FTPS und SFTP. - Kostenlos
FileZilla: SSL/TLS-Fähiger FTP-Client. Erst seit kurzem auch für Mac OS X verfügbar. - Kostenlos

Virtualisierung
VMware Fusion: Desktop Virtualisierungssoftware. Erst seit kurzem Verfügbar, aus meiner Sicht besser als Parallels. - Kommerziell ab 49,90 €

Es werden im Laufe der Zeit sicher noch ein paar mehr Appliaktionen folgen. Ich habe nicht immer auf die Herstellerseite gelinkt, da nicht immer Screenshots verfügbar waren.
Was ich noch dringend suche ist ein ordentlicher MP3-Player, iTunes ekelt mich zu sehr an!! Wer Tips hat bitte Kommentar, E-Mail oder Jabber-Msg. an mich.

Wer sich keinen Mac leisten kann, oder Mac OS X vor dem Kauf testen möchte kann sein Glück auch mal mit einem Hackintosh versuchen. Infos dazu bekommt ihr im Wiki von OSX86. Denkt aber bitte daran, das ganze ist ILLEGAL und ich muss mich davon distanzieren, egal ob ich vielleicht auch bereits einen Hackintosh betreibe der performanter als mein MacBook ist oder nicht.