Archiv des Autors: Jörg Kastning

Den Pi nach Update Fehler wiederbeleben

Schreibe eine Antwort

Nach einem routinemäßigen

sudo apt-get update && sudo apt-get upgrade

hatte es sich zunächst „ausgepied“. Bis auf die rote LED zeigte mein Pi nach dem Reboot keine Lebenszeichen mehr.

In diesem Artikel beschreibe ich kurz und dreckig, wie ich meinen Raspberry Pi nach missglücktem Update wiederbelebt habe, ohne ihn komplett neu installieren zu müssen.

Das Problem
Das Problem trat auf, als ich meinem Pi nach einem Routine-Update neugestartet habe. Ein Blick in die Datei /var/log/apt/term.log zeigt die letzte Update-Ausgabe:

Vorbereitung zum Ersetzen von gnupg 1.4.12-7+deb7u3 (durch .../gnupg_1.4.12-7+deb7u4_armhf.deb) ...
Ersatz für gnupg wird entpackt ...
Trigger für man-db werden verarbeitet ...
Trigger für install-info werden verarbeitet ...
gnupg (1.4.12-7+deb7u4) wird eingerichtet ...
raspberrypi-bootloader (1.20140618-1) wird eingerichtet ...
Memory split is now set in /boot/config.txt.
You may want to use raspi-config to set it
Keine Umleitung »Umleitung von /boot/bootcode.bin durch rpikernelhack«, keine entfernt.
Keine Umleitung »Umleitung von /boot/fixup.dat durch rpikernelhack«, keine entfernt.
Keine Umleitung »Umleitung von /boot/fixup_cd.dat durch rpikernelhack«, keine entfernt.
Keine Umleitung »Umleitung von /boot/fixup_x.dat durch rpikernelhack«, keine entfernt.
»Umleitung von /boot/kernel.img zu /usr/share/rpikernelhack/kernel.img durch rpikernelhack« wird entfernt
»Umleitung von /boot/kernel_cutdown.img zu /usr/share/rpikernelhack/kernel_cutdown.img durch rpikernelhack« wird entfernt
»Umleitung von /boot/kernel_emergency.img zu /usr/share/rpikernelhack/kernel_emergency.img durch rpikernelhack« wird entfernt
»Umleitung von /boot/start.elf zu /usr/share/rpikernelhack/start.elf durch rpikernelhack« wird entfernt
»Umleitung von /boot/start_cd.elf zu /usr/share/rpikernelhack/start_cd.elf durch rpikernelhack« wird entfernt
»Umleitung von /boot/start_x.elf zu /usr/share/rpikernelhack/start_x.elf durch rpikernelhack« wird entfernt
libraspberrypi0 (1.20140618-1) wird eingerichtet ...
libraspberrypi-bin (1.20140618-1) wird eingerichtet ...
libraspberrypi-dev (1.20140618-1) wird eingerichtet ...
libraspberrypi-doc (1.20140618-1) wird eingerichtet ...
Log ended: 2014-06-26  21:00:56

Leider hat mir diese Ausgabe nicht wirklich geholfen, die Fehlerursache genau zu identifizieren. Da der Pi jedoch den Bootvorgang verweigerte, musste der Fehler irgendwo in der Partition /boot liegen.

Meine Lösung
Diese Lösung mag nicht die Beste sein. Jedoch hat sie funktioniert. ;-) Ich benötigt dafür ein Ubuntu-System mit Cardreader. (Ein anderes Linux wird es sicherlich auch tun.)

  1. Aktuelles Raspbian Image von www.raspberrypi.org herunterladen.
  2. Zip-Archiv entpacken und das enthaltene Image im Ubuntu Filesystem einhängen.
  3. SD-Karte des Raspberry Pi einlegen und die enthaltenen Partitionen ebenfalls einhängen.
  4. Nun vergleichen wir den Inhalt der beiden /boot-Partitionen.

Bei dem Vergleich fiel mir auf, dass die folgenden vier Dateien in der /boot Partition meiner SD-Karte fehlten:

-rwxr-xr-x 1 root root   17824 Jun 19 21:59 bootcode.bin
-rwxr-xr-x 1 root root    2090 Jun 19 21:59 fixup_cd.dat
-rwxr-xr-x 1 root root    5845 Jun 19 21:59 fixup.dat
-rwxr-xr-x 1 root root    8822 Jun 19 21:59 fixup_x.dat

Diese habe ich dann einfach aus dem gemounteten Image auf die /boot-Partition der SD-Karte kopiert, die SD-Karte wieder in meinen Raspi gesteckt, ihn eingeschaltet und mich gefreut. Der Pi bootet wieder. Meine Daten und installierten Dienste funktionieren alle noch wie gewohnt. Mission accomplished. :-)

Synology RAID Volume mit größeren Festplatten erweitern

11 Antworten

Diese Anleitung beschreibt, wie man die Speicherkapazität des RAID Volume einer Synology Diskstation durch Einsatz größerer Festplatten erweitern kann. Sie basiert auf der englischsprachigen Anleitung aus dem Synology Wiki.[1. Replace Drives to Expand Storage Capacity]

In meinem Beispiel wird die Kapazität eines Synology Hybrid RAID erweitert. Die Anleitung funktioniert jedoch analog auch für:

  • RAID-1
  • RAID-5
  • RAID-5+Hot-Spare
  • RAID-6
  • Synology Hybrid RAID

Die Anleitung wurde mit der Firmware DSM 5.0-4493 Update 1 erstellt.

Vorsicht!
Bevor irgendwelche Arbeiten an der RAID-Konfiguration durchgeführt werden, sollte eine Datensicherung der Dateien durchgeführt werden, die aktuell auf der Diskstation gespeichert sind. So kann einem Datenverlust in Folge eines Fehlers vorgebeugt werden.

Beginn der Arbeiten

systemstatus

Systemzustand der DS213air

Zuerst werfen wir noch einen kleinen Blick in den Systemstatus, um zu prüfen, dass unsere Diskstation und unser RAID Volume in Ordnung sind. Ist alles in Ordnung, können wir wie im Folgenden beschrieben, die erste Festplatte gegen ein größeres Laufwerk ersetzen.

Ich selbst besitze eine DS213air. Da bei diesem Modell die Festplatten nicht im laufenden Betrieb gewechselt werden können, muss die Diskstation zuerst heruntergefahren werden.

Schritt 1
Nachdem die Diskstation vom Strom getrennt wurde, öffnet ihr das Gehäuse. Nun könnt ihr eine der Festplatten gegen eine größere Festplatte austauschen. Mit welcher Festplatte ihr dabei beginnt, ist egal. Dies bleibt euch überlassen.

Schritt 2

ds213air_open2

Offenes Gehäuse der DS213air

Die Diskstation wird wieder an den Strom angeschlossen und eingeschaltet. Ich habe das Gehäuse für diesen Schritt offen gelassen, da ich später ja auch noch die zweite Festplatte ersetzten möchte.

Nach dem Hochfahren ertönt ein Signalton. Dieser weist darauf hin, dass das RAID Volume beschädigt ist.

Schritt 3
Wir melden uns an der Diskstation an und deaktivieren in der geöffneten Systemsteuerung zuerst den Signalton.

Schritt 4
Wechselt in den Speicher-Manager. Hier wird euch das fehlerhafte Volume angezeigt. Mit einem Klick auf „Verwalten“ startet ihr den Volume Manager Assistent. Klickt euch durch den Assistenten und startet damit die Reparatur eures Volumes.

Die Reparatur kann je nach Größe eures Volumes mehrere Stunden dauern. Mit dem nächsten Schritt darf erst fortgefahren werden, wenn die Reparatur erfolgreich beendet wurde.

Schritt 5
Zeigt der Speicher-Manager für euer Volume wieder den Status Normal, könnt ihr die Schritte 1-4 für die zweite Festplatte wiederholen.

Ende der Erweiterung
Nach der erneuten Reparatur des Volumes wird der Speicherplatz des Synology Hybrid RAID automatisch erweitert und steht euch zur Nutzung zur Verfügung. Ein Blick in den Speicher-Manager bestätigt das Ergebnis.

storagemanager

Überblick Speicher-Manager

Fazit: So einfach ist es, den Speicherplatz für eure Fotos, Videos und die Musiksammlung zu erweitern. Ich hoffe, dass diese Anleitung euch bei der Vergrößerung eurer Volumes unterstützt. Habt ihr Verbesserungsvorschläge, Kommentare oder konstruktive Kritik, so benutzt bitte die Kommentarfunktion zum Beitrag. Ich werde dann versuchen, eure Anmerkungen in den Beitrag einzuarbeiten.

Google will Ende-zu-Ende-Verschlüsselung in den Browser bringen

Schreibe eine Antwort

Beim Stöbern im Internet bin ich über mehrere Artikel gestolpert, die von Googles Plänen berichten, eine Ende-zu-Ende-Verschlüsselung für den Chrome Browser zu entwickeln.

So bin ich auch auf einen Artikel in Googles Security Blog gestoßen. Google schildert in diesem Blog die Absicht, eine „End-to-End“ Erweiterung für den Chrome Browser zu entwickeln, um die Benutzung von sicherer Ende-zu-Ende-Verschlüsselung für den Anwender zu vereinfachen.[1. Making end-to-end encryption easier to use (englisch)]

Die Chrome Erweiterung ist jedoch noch nicht erhältlich. Google hat in einem ersten Schritt den Quellcode der Erweiterung veröffentlicht, um ein Code-Review durch die Internet Community zu ermöglichen. Mit dieser Maßnahme möchte Google das Risiko von Fehlern und Schwachstellen im Quellcode minimieren und das Vertrauen in die Erweiterung stärken.

Auf jeden Fall ist dies ein Schritt in die richtige Richtung. Sind die heute verfügbaren Tools wie PGP oder GnuPG doch den meisten Anwendern zu kompliziert in der Anwendung.[2. Der steinige Weg zu Verschlüsselter Kommunikation]

Doch wird Google wohl auch noch einige Zweifel ausräumen müssen. Als US-Konzern unterliegt Google auch der US-Gerichtsbarkeit. Ich frage mich, ob die US-Behörden nicht etwas dagegen haben, wenn Google seinen Kunden eine sichere Kommunikationsverschlüsselung anbietet, welche den Inhalt von E-Mails auch vor den Augen neugieriger NSA-Agenten schützt.

Musste doch im vergangenen Jahr der E-Mail Anbieter Lavabit seinen Betrieb einstellen, da ihn US-Behörden mutmaßlich zur Entschlüsselung und Herausgabe von Kundendaten aufforderten. Warum sollte Google nicht ähnlicher Druck drohen, wenn sie nicht eine Hintertür für die Behörden offen lassen?[3. Heise Artikel zum Ende von Lavabit]

Google hat neben dem Blogpost auch eine Projektseite geschaltet, welche neben dem Quellcode auch einige FAQs bereit hält.[4. Google End-to-End (englisch)] Diesen ist zu entnehmen, dass die Erweiterung auf OpenPGP basiert, welches einen offenen und sicheren Standard darstellt. Nur ein einziger Abschnitt trübt die aufkommende optimistische Stimmung:

Are the private key(s) kept in memory, are they always purged after every operation, or is there a passphrase cache?

The private keys are kept in memory unencrypted. We recommend making sure your keyring has a passphrase so that private keys are stored encrypted in localStorage.

How safe are private keys in memory?

In memory, the private key is sandboxed by Chrome from other things. When private keys are in localStorage they’re not protected by Chrome’s sandbox, which is why we encrypt them there.

Please note that enabling Chrome’s „Automatically send usage statistics and crash reports to Google“ means that, in the event of a crash, parts of memory containing private key material might be sent to Google.

Auf Deutsch, öffnet man den Schlüsselbund durch Eingabe seiner Passphrase, wird der private Schlüssel in den Arbeitsspeicher geladen. Hat man in seinem Chrome Browser die Funktion aktiviert, automatisch Nutzungsstatistiken und Fehlerberichte an Google zu senden, könnte im Falle eines Browserabsturzes der private Schlüssel mit an Google übertragen werden. Wenn das passiert, bleibt nur das genutzte Schlüsselpaar zu sperren und sich ein Neues zu erstellen. Oder man schaltet von vornherein die Funktion zur Übermittlung von Nutzungsstatistiken und Fehlerberichten an Google ab.

Ob im Quellcode der End-to-End Erweiterung eine Funktion versteckt ist, um den privaten Schlüssel an Google oder einen dritten zu übermitteln, kann ein Code-Review durch die Community zeigen. Ob eine entsprechende Version im Chrome Browser selbst versteckt ist, wird hingegen nicht so schnell festzustellen sein, da der Quelltext nicht komplett offen liegt.

Ehrlich gesagt würde ich mich sicherer fühlen, wenn eine solche Funktion von einem Unternehmen entwickelt würde, das an deutsche Gesetze gebunden ist. Darum bin ich umso mehr gespannt, was die Community und Security-Experten zur neuen Erweiterung sagen. Ich bleib auf jeden Fall dran und halte euch auf dem Laufenden.

smsTAN vs. pushTAN vs. chipTAN

13 Antworten

So ziemlich jede Bank oder Sparkasse bietet ihren Kunden heute mehrere TAN-Verfahren für mehr oder weniger sicheres Online-Banking an. In diesem Artikel möchte ich die drei Verfahren smsTAN, pushTAN und chipTAN kurz allgemeinverständlich beschreiben und auf ihre Vor- und Nachteile eingehen.

smsTAN

smsTAN oder auch mTAN[1. Wikipedia: Mobile TAN] ist ein sehr weit verbreitetes Online-Banking Verfahren. Hierbei werden die Auftragsdetails und die Transaktionsnummer (TAN) an eine Mobilfunknummer gesendet. Als Kunde kann man so prüfen, ob Summe und Empfänger einer Überweisung korrekt sind und anschließend die übermittelte TAN zur Bestätigung eingeben.

Dieses Verfahren galt lange Zeit als sicher, solange man für das Online-Banking und den Empfang der smsTAN nicht ein und dasselbe Geräte nutzt.

Durch die große Verbreitung dieses Verfahrens haben Kriminelle in letzter Zeit jedoch eine Vielzahl möglicher Angriffe gegen dieses Verfahren entwickelt.[2. Wikipedia: Mögliche Angriffe auf mTAN] So berichtete heise Security bereits im August 2013 über zwei gelungene Angriffe auf das mTAN Verfahren.[3. heise: Angriffe auf mit mTAN geschützte Konten] Und nach aktuellen Berichten nehmen diese Angriffe weiter zu. Deutschland gehört dabei nach einem Bericht des Antivirus-Herstellers Kaspersky zu den Top-Angriffszielen in Europa.[4. Online-Banking: Verstärkte Angriffe auf das mTAN-Verfahren]

Dies verwundert nicht, rücken Smartphones durch ihre große Verbreitung doch immer stärker in den Fokus von Betrügern, Crackern und anderen Kriminellen. Für mich bedeutet das, dass es an der Zeit ist, mir ein neues TAN Verfahren auszusuchen.

pushTAN

Ein Verfahren, welches ich bisher noch nicht kannte, nennt sich pushTAN. Laut der Sparkassen Website ist dieses Verfahren besonders für Smartphones und Tablets geeignet, da hierbei TAN-Empfang und Transaktion auf einem Gerät erfolgen können.[5. Sparkasse: Vorteile pushTAN] Bei dieser Aussage sträuben sich mir jedoch die Nackenhaare.

Transaktion und TAN-Empfang auf ein und demselben Gerät? Dies ist in meinen Augen vielleicht bequem aber keinesfalls sicher. Zwar schreibt die Sparkasse, dass die TAN in einem TÜV-zertifizierten und passwortgeschützten Bereich einer S-pushTAN-App angezeigt werden, doch befindet sich alles, was man zum Abräumen des Kontos braucht, auf einem Gerät. Geschützt nur durch Benutzername und Passwort. Doch gerade auf diese Daten haben es Kriminelle abgesehen. Sie versuchen diese Daten mittels Phishing und Trojanern zu erbeuten. Diese Angriffe sind bereits in Sozialen Netzwerken und auf PCs und Notebooks sehr erfolgreich und werden aktuell und in Zukunft auch auf mobile Geräte übergreifen.

Daher lautet mein persönliches Fazit: pushTAN ist viel zu bequem, um noch wirklich sicher zu sein. Daher lautet mein Rat: Hände weg!

Update vom 25.10.2015: App-TANs der Sparkasse demontiert

Was ich bereits im Mai vergangenen Jahres am PushTAN-Verfahren kritisierte, wurde nun von Forschern der Uni Erlangen bestätigt. heiseSecurity berichtet[6. Forscher demontieren App-TANs der Sparkasse], dass es den Forschern gelungen ist, eine in Auftrag gegebene Überweisung abzufangen und zu verändern. Zitat:

Durch gezielte Manipulationen im Betrieb der Sparkassen-App fängt ihr Schadcode eine vom Nutzer in Auftrag gegebene Überweisung ab und verändert diese. Die vom Anwender tatsächlich durchgeführte Überweisung sendet dann einen deutlich höheren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da „die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen“.

Der schriftliche Bericht von Vincent Haupert und Tilo Müller sowie ein Presseartikel in deutscher und englischer Sprache sind über die Webseite (In)Security of App-based TAN Methods in Online Banking abrufbar.

Für jene, denen Sicherheit beim Online-Banking wichtig ist, wiederhole ich meinen Rat: Hände weg von PushTAN! Jetzt erst recht!

chipTAN

Bleibt als letztes Verfahren aus unserem Trio noch das chipTAN Verfahren.[7. Beschreibung chipTAN] Hierbei kommt ein sogenannter TAN-Generator[8. Wikipedia: TAN-Generator] zum Einsatz, welcher die zur Autorisierung einer Transaktion notwendige TAN generiert.

Um nun eine Überweisung zu tätigen, meldet ihr euch wie gewohnt im Online-Banking an und bereitet eure Überweisung vor. Sendet ihr den Auftrag ab, erscheint eine kleine Grafik auf dem Bildschirm. Nun steckt ihr eure EC-Karte in den TAN-Generator und haltet diesen vor die kleine Grafik. Die Transaktionsdaten werden nun vom TAN-Generator eingelesen und auf diesem nochmals angezeigt. Stimmen alle Daten mit denen auf dem PC überein, könnt ihr eine TAN für diesen Auftrag generieren und die Überweisung autorisieren.

Die Medien, welche zur Auftragsausführung benötigt werden, teilen sich hierbei auf Computer/Tablet, TAN-Generator und EC-Karte auf. Da die TAN beim Kunden generiert wird und nicht erst zu diesem transportiert werden muss, kann sie auch nicht per Phishing oder Trojaner abgefangen werden.[9. Sparkasse: chipTAN Details]

Es ist nicht ausgeschlossen, dass Kriminelle auch Angriffe gegen dieses TAN-Verfahren entwickeln und in Zukunft damit erfolgreich sein könnten. Doch stellt es zum aktuellen Zeitpunkt in meinen Augen das sicherste TAN-Verfahren dar. Ich werde mein TAN-Verfahren gleich zum Beginn kommender Woche auf chipTAN umstellen. Und falls ihr es nicht bereits nutzt, solltet ihr zumindest darüber nachdenken, ob ihr euer TAN-Verfahren nicht auch umstellen solltet.

Passed the CAcert.org Assurer Challenge

Schreibe eine Antwort

Vergangene Woche bin ich auf dem LinuxTag 2014 in Berlin am Stand von CAcert.org hängen geblieben.

Worum geht es bei CAcert.org?

CAcert.org ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die kostenfreie Zertifikate für jedermann ausstellt.

Das Ziel von CAcert ist es, das Bewusstsein und die Unterrichtung über Computersicherheit durch die Benutzung von Verschlüsselung zu fördern, insbesondere durch die Herausgabe von Zertifikaten zur Verschlüsselung. Diese Zertifikate können benutzt werden, um E-Mails digital zu unterschreiben und zu verschlüsseln, einen Anwender beim Zugang zu Webseiten zu beglaubigen und zu berechtigen und eine gesicherte Datenübertragung über das Internet zu ermöglichen. Jede Anwendung, die das gesicherte Übertragungsprotokoll mit SSL oder TLS unterstützt, kann von Zertifikaten Gebrauch machen, die von CAcert signiert wurden, ebenso jede Anwendung, die X.509-Zertifikate benutzt, z.B. für Verschlüsselung oder Signierung von Code oder Dokumenten.

Das Prinzip von CAcert.org basiert dabei auf einem Vertrauensnetzwerk, dem sogenannten Web of Trust. Im Gegensatz zu einer hierarchischen Public-Key-Infrastruktur wird die Echtheit von Zertifikaten (digitalen Schlüsseln) nicht von einer einzelnen Organisation, sondern durch gegenseitige Bestätigung (Assurance) der Mitglieder geprüft.

Zur Verdeutlichung hier ein kleines Beispiel aus der Wikipedia:

Alice signiert den Schlüssel von Bob und vertraut Bobs Schlüsselsignaturen
Bob signiert den Schlüssel von Carl
(Bobs Vertrauen in Carls Schlüsselsignaturen ist weder bekannt noch relevant)
Somit betrachtet Alice den Schlüssel von Carl als gültig.

Es ist also eine Frage des Vertrauens. Und die Frage ist berechtigt, wem man mehr Vertrauen schenkt. Einer kommerziellen Zertifizierungsstelle, oder dem Web of Trust und damit der CAcert.org Community. Ich für meinen Teil habe mir diese Frage bereits beantwortet.

Nachdem wir in Folge des Heartbleed Bug alle SSL-Zertifikate in unserem Unternehmen erneuern mussten ist mein Vertrauen in die kommerziellen Zertifizierungsstellen erschüttert. Die durchgeführten „Verification Calls“ ließen mich sehr stark an der Vertrauenswürdigkeit der Identifizierung zweifeln. So hätte auch ein Praktikant oder jeder x-beliebige Mitarbeiter an ein Zertifikat für eine unser Domains gelangen können. Fest steht, der Anbieter kann sich nicht sicher sein, dass er tatsächlich mit der zur Zertifikatsanforderung berechtigten Person gesprochen hat.

Im Vertrauensnetzwerk von CAcert.org wird die Echtheit eines Zertifikats durch eine persönliche Assurance des Besitzers bestätigt. Dabei prüft ein CAcert Assurer mindestens ein offizielles Ausweisdokument, um die Identität des Zertifikatsinhabers zu bestätigen. Es muss also in jedem Fall ein Treffen von Angesicht zu Angesicht stattgefunden haben, bevor einem Zertifikat das Vertrauen ausgesprochen werden kann. Dieser Prozess wird detailliert in der Assurance Policy for CAcert Community Members definiert.

Ich persönlich habe großes Vertrauen in das Prinzip des Web of Trust und entschied mich vergangene Woche selbst CAcert Assurer zu werden, um die Echtheit von Zertifikaten weiterer CAcert.org Member assuren zu können. Dazu ließ ich meine eigene Identität auf dem LinuxTag gleich von vier CAcert Assurern bestätigen, um die nötigen Assurance Punkte zu sammeln, die nötig sind, um selbst Assurer zu werden. Denn nur Personen, denen ein gewisses Mindestmaß an Vertrauen bestätigt wurde und welche die Assurer Challenge bestanden haben, dürfen die Identität anderer Mitglieder bestätigen.

Gestern habe ich die Assurer Challenge im ersten Anlauf bestanden und stehe euch damit als CAcert Assurer zur Verfügung.

Falls ihr noch nicht sicher seid, wie digitale Signaturen und Zertifikate funktionieren, oder Mitglied der Community wird, empfehle ich euch die Seite „CAcert in kurzen Worten“. Dort wird auch der Registrierungsprozess beschrieben, damit ihr euch anmelden und einloggen könnt.

So get Assured
www.cacert.org

Facebook nervt mit automatisch ablaufenden Videos

1 Antwort

Mark Zuckerberg sorgt dafür, dass es auf Facebook nicht langweilig wird. Eine aktuelle Neuerung, auf die man bei Facebook im Browser oder auf dem Smartphone in der Facebook App hingewiesen wird ist, dass Videos in der Timeline nun automatisch ohne Ton wiedergegeben werden.

Während es sicher auch einige Seelen da draußen gibt, die sich über diese „Innovation“ freuen, verursacht sie bei mir nur genervtes Augenrollen. Und gern verrate ich euch auch warum.

Damit ein Video im Browser oder der Smartphone App wiedergegeben werden kann, müssen Daten gestreamt oder heruntergeladen werden. Nutze ihr die Facebook App auf einem Smartphone verringert die automatische Videowiedergabe das Datenvolumen, dass euch monatlich zur Verfügung steht, bevor ihr auf langsame GPRS Geschwindigkeit gedrosselt werdet. Na, war euch das bewusst? Dem könnt ihr entgegenwirken wenn ihr in den App Einstellungen den Punkt sucht und aktiviert, der die Videowiedergabe nur bei einer bestehenden WLAN-Verbindung startet.

Doch stellt die automatische Videowiedergabe in meinem Augen auch ein unnötiges Sicherheitsrisiko dar. Mit der automatischen Videowiedergabe werden Daten an meinen Rechner übertragen. Dabei muss es sich nicht ausschließlich um bewegte Bilder handeln. In den Datenstrom lässt sich dabei auch Malware einbetten, die so nach dem Prinzip des Drive-by-Download automatisch auf eurem Rechner bzw. Smartphone zur Ausführung gebracht werden kann.

Natürlich besteht das Risiko einer Infektion auf diesem Weg auch, wenn ihr ein Video manuell startet, doch ist das Risiko deutlich geringer, als wenn jedes Video in eurer Timeline automatisch wiedergegeben wird.

Glück im Unglück: Facebook hat in einer kleinen Infobox auf das neue Feature hingewiesen. So konnte ich direkt in die Einstellungen gehen und unter dem Punkt Video die automatische Wiedergabe deaktivieren.

Ganz einfach: Widerspruch zur Datenweitergabe durch Meldebehörden

Schreibe eine Antwort

Erst gestern verkündete ein heise-Artikel:

Laut Meldegesetz kann jeder Bürger Meldeämtern die Weitergabe seiner Daten untersagen. Doch kaum jemand nimmt sein Recht in Anspruch.

Doch wussten Sie überhaupt, dass die Meldeämter Ihre Daten ohne Ihr Einverständnis weitergeben dürfen? Nun, jetzt wissen Sie es und ich erkläre Ihnen was Sie dagegen tun können.

In einigen Fällen können die Bürger der Weitergabe widersprechen, zum Beispiel an Parteien, Bürgerinitiativen, Adressbuchverlage oder zur Direktwerbung. Dies geht ganz einfach mit einem Musterbrief (DOC-Datei für Word), welcher vom Bundesverband der Verbraucherzentralen zum Download angeboten wird.

Das Ausfüllen des Musterbriefs dauert keine 5 Minuten. Den ausgefüllten Musterbrief schicken Sie anschließend an Ihr zuständiges Einwohnermeldeamt. Fertig.

VirtualBox VDI Datei in VMware VMDK Datei konvertieren

Schreibe eine Antwort

Schon 2012 habe ich im Artikel Virtualbox und das Open Virtualization Format darüber berichtet, dass sich ins OVF bzw. OVA Format exportierte VMs nicht in einer VMware vSphere Umgebung importieren lassen. Leider hat sich an diesem Umstand bis heute nichts geändert. Daher habe ich mir einen neuen Weg gesucht, um VMs von Virtualbox nach vSphere zu migrieren.

Auf dem ESXi ist zuerst eine neue virtuelle Maschine ohne Festplatte zu erstellen. Um nun die VDI aus VirtualBox nutzen zu können, muss diese zuerst in eine VMDK Datei konvertiert werden.

Eine Lösung fand ich in diesem englischsprachigen Blogpost. Zur Konvertierung nutzen wir das Tool „vboxmanage“ auf der Komandozeile. Der folgende Codeschnipsel zeigt einen Beispielaufruf:

C:\Program Files\Oracle\VirtualBox>vboxmanage clonehd "Pfad zur VDI Datei\quelldatei.vdi" "Pfad zur VDI Datei"\zieldatei.vmdk --format VMDK --variant Standard
vditovmdk

Beispiel einer Konvertierung von VirtualBox zu VMware.

Mit dem obigen Aufruf wird im selben Verzeichnis, in dem die VDI Datei liegt eine VMDK Datei erzeugt. Diese kann nun in den Datastore eines ESXi Hypervisor hochgeladen und als virtuelle Festplatte einer VM hinzugefügt werden.

Anschließend kann man die VM starten und sie weiter nutzen.

Update 16.3.2014: Hier kommt ein wichtiger Nachtrag aus der Praxis. Er soll ich davor bewahren, die gleichen Erfahrungen wie ich machen zu müssen. Die oben beschriebene Migration von VirtualBox zu vSphere führte zu einem wahren Härtetest von vSphere HA.

Nach dem Start der VM im vSphere Cluster sollten im nächsten Schritt die VBox Guest Additions deinstalliert und die VMware Tools installiert werden. Doch soweit bin ich gar nicht erst bekommen.

Denn die migrierte VM hängte sich auf und lies sich nicht mehr steuern. Auch ein Zurücksetzen der VM zeigte keinerlei Wirkung. Nur kurze Zeit später stürzte der ganze Hypervisor ab und der Cluster führte einen Failover durch. Dadurch wurde leider auch die fehlerhafte VM auf einen anderen Host übertragen und brachte diesen ebenfalls zum Absturz, bevor ich die VM stoppen und löschen konnte.

Zwei Hypervisor-Abstürze innerhalb von 30 Minuten sind eindeutig zwei zu viel. Für den VMware Support war dieses Verhalten ebenfalls neu. Hier bekam ich den Rat zukünftig die VirtualBox Guest Additions zu deinstallieren, bevor ich die VDI Datei konvertiere.

Für unseren Betrieb haben wir hingegen festgelegt keine weiteren VMs auf diesem Weg zu migrieren. Wir werden VMs nach einer Testphase durch Neuinstallation ins Cluster überführen. So können wir durch Konvertierung verursachte Fehler ausschließen und erstellte Dokumentationen überprüfen, indem wir das System nach der Dokumentation erneut bereitstellen.

Das BSI warnt – Millionenfacher Identitätsdiebstahl in der Bundesrepublik

Schreibe eine Antwort

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab am 21.01.2014 in einer Pressemitteilung bekannt, dass es zu einem großflächigen Identitätsdiebstahl gekommen ist.

Dabei wurden 16 Millionen Benutzerkonten kompromittiert, welche sich laut BSI aus einem Benutzernamen in Form einer E-Mail Adresse und einem Passwort verwendet werden, wie sie z.B. zum Login in E-Mail Accounts, Online-Shops und sozialen Netzwerken verwendet werden.

Das BSI hat mit Unterstützung der Deutschen Telekom die Seite https://www.sicherheitstest.bsi.de/ ins Leben gerufen, auf der Anwender prüfen können, ob ihre E-Mail-Adresse ebenfalls von dem Identitätsdiebstahl betroffen ist.

Die Seite für den Sicherheitstest war aufgrund sehr vieler Zugriffe zeitweise nicht erreichbar. Anlässlich des großen Ansturms hat das BSI eine Seite mit Antworten auf die „Häufigsten Fragen zum Mailtest“ eingerichtet.

Identitätsdiebstahl gehört zu den Top-Gefährdungen im Internet. Bitte nehmen Sie den Fall ernst und überprüfen Sie, ob auch Ihre E-Mail Konten von dem Identitätsdiebstahl betroffen sind.

Postfix mit Gmail als Smarthost

3 Antworten

Ich blogge hier kurz runter, wie man Postfix mit Gmail als Smarthost einrichtet. So muss ich mir beim nächsten Mal nicht wieder alle Informationen im Internet zusammensuchen.

Den Postfix selbst hab ich auf meinem Raspberry Pi installiert, um Benachrichtungs-E-Mails der „Überwachung von Temperatur und Luftfeuchtigkeit mit dem SHT21“ versenden zu können. Das Tutorial sollte jedoch auch für alle weiteren auf Debian basierenden Distributionen gelten.

Als erstes werden die folgenden Pakete installiert[1. Artikel im Ubuntuusers.de Wiki]:

sudo apt-get install postfix libsasl2-modules bsd-mailx

Beim Start von Postfix auf meinem Raspberry Pi kam folgende Warnung:

postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
postfix: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
.

Um diese Warnmeldungen abzustellen wird folgender Befehl abgesetzt und Postfix neugestartet.[2. Good to Know Database]

pi@raspberrypi ~ $ sudo postconf -e 'inet_protocols = ipv4'
pi@raspberrypi ~ $ sudo /etc/init.d/postfix restart
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.

Jetzt ist die /etc/postfix/main.cf in einem Editor zu öffnen. Falls noch nicht vorhanden, sind folgende Zeilen zu ergänzen:[3. Relaying Postfix SMTP via smtp.gmail.com]

relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_use_tls = yes

Im nächsten Schritt ist die Datei /etc/postfix/sasl_passwd mit folgendem Inhalt zu erstellen.

[smtp.gmail.com]:587 user.name@gmail.com:password

Jetzt beschränken wir noch den Zugriff auf die gerade erstellte Datei und erstellen die sasl_passwd Datenbank.

sudo chmod 600 /etc/postfix/sasl_passwd
sudo postmap /etc/postfix/sasl_passwd

Jetzt wird Postfix noch einmal neugestartet. Anschließend können wir den Mailversand testen:

echo "Das Leben ist schön." | mailx -s "Hello World" user.name@zieldomain.tld

Fertig. E-Mail verschickt und im Postfach empfangen.

Zu beachten: Wenn ihr euch ein neues Gmail Postfach angelegt habt müsst ihr euch einmal über den Webbrowser am Postfach anmelden und die Nutzungsbedingungen akzeptieren, bevor ihr Mails mit Postfix über diesen Account versenden könnt.