Mailingliste ‘ubuntu-security-announce’

Auch in Ubuntu (und in den installierten Programmen) werden immer mal wieder Sicherheitslücken gefunden, weshalb regelmäßige Updates notwendig sind um das System sicher und stabil zu halten. Die “Aktualisierungsverwaltung” überprüft deshalb in regelmäßigen Abständen (am besten einmal täglich) ob es Updates für das System gibt. Wem die Aktualisierungsverwaltung zu träge arbeitet, der kann sich zusätzlich durch die (englischsprachige) Mailingliste ubuntu-security-announce über Sicherheitsprobleme und deren Lösung informieren lassen. Meistens kann das Problem mit einem Upgrade gelöst werden, in diesem Fall sollte die “Aktualisierungsverwaltung” manuell gestartet und über “Prüfen” nach den neuen Updates gesucht werden.

Alternativ gibt es auch einen RSS-Feed…http://www.ubuntu.com/usn/rss.xml

Dropbox Daten verschlüsseln mit EncFS (aktualisiert)

Eine Möglichkeit die Daten, welche auf den Dropboxserver hochgeladen werden, zu verschlüsseln stellt “Encfs” dar. Gegenüber Truecrypt hat EncFS den Vorteil, dass nur der tatsächlich für die verschlüsselten Dateien benötigte Speicherplatz belegt wird und nicht schon im Vorfeld große (zu synchronisierende) Container angelegt werden müssen. Folgende Pakete müssen dazu installiert werden

encfs

und

cryptkeeper

als grafische Oberfläche.

Um ein verschlüsseltes Verzeichnis anzulegen wird ein “Terminal” geöffnet, der folgende Befehl legt das Verzeichnis (Dropbox_encfs) an.

encfs ~/Dropbox/.Dropbox_encfs ~/Dropbox_encfs

jetzt wird gefragt ob die noch nicht vorhandenen Verzeichnisse angelegt werden sollen

y

und

y

bestätigen das, wer sich nicht mit Verschlüsselungsgeschichten auskennt wählt dann den “Paranoia-Modus”

p

jetzt das Passwort noch zweimal eingeben und jeweils bestätigen und das verschlüsselte Verzeichnis ist angelegt und geöffnet.

Ist das erledigt wird “Crypkeeper” gestartet. “Anwendungen” -> “Systemwerkzeuge” -> “Cryptkeeper“. Im Panel erscheint ein kleines Icon cryptkeeper_icon, ein Linksklick öffnet die Optionen.

Hier wird “Importiere EncFS Ordner” gewählt und das Verzeichnis “.Dropbox_encfs” (die Datei ist versteckt deshalb <Strg>+<H>drücken um die versteckte(n) Datei(n) anzuzeigen) im Ordner “/home/BENUTZERINNENNAME/Dropbox” makiert.

Vor” drücken und es wird nach einem Ort gefragt wo der EncFS Ordner eingebunden werden soll. Hier wird das beispielsweise das “Home“-Verzeichnis gewählt (wichtig: nicht der Dropboxordner!) und ein Name angegeben “Dropbox_encfs” bietet sich an. Nocheinmal “Vor“.

Dann sollte das Verzeichnis erfolgreich in “Cryptkeeper” importiert worden sein.

Jetzt kann es über das Cryptkeeper Icon im Panel ein- und ausgehängt werden.

MPlayer – wenn die Videowiedergabe ruckelt

mplayerImmer öfter werden Videos in HD-Auflösungen angeboten, bzw. aufgenommen. Gerade bei älteren Rechnern können die HD-Videos ganz ordentlich ruckeln. Abhilfe kann hier der MPlayer schaffen. Ist das Paket

mplayer

installiert, wird er wie folgt gestartet (bei der Nutzung von grafischen Oberflächen – gnome-mplayer etc. – ruckeln Videos bei mir auch mit dem MPlayer, warum genau habe ich noch nicht rausgefunden): “Rechtsklick” auf die Videodatei “Öffnen mit” -> “Andere Anwendung …” -> “Benutzerdefinierten Befehl benutzen” hier wird “mplayer” eingegeben und dann auf “öffnen” geklickt. Ist der Haken bei “Diese Anwendung für […] Dateien merken” gemacht reicht beim nächsten mal ein Doppelklick auf die Videodatei um den MPlayer zu starten.

Gesteuert wir der MPlayer mit der Tastatur.

Instant Messaging mit XMPP

XMPP_LogoXMPP (Extensible Messaging and Presence Protocol) ist eine Open Source-Alternative zu proprietären Instant-Messaging-Protokollen wie ICQ, MSN und YIM. Neben reinem Instant Messaging hat XMPP viele weitere Funktionen wie Dateiübertragungen, Gruppenchats, “Transports” um zu anderen IM-Netzwerken verbinden (ICQ, MSN, AIM, YIM, IRC …), VOIP, Videoübertragung und viele mehr.

Das Protokoll ist nicht auf einen zentralen Server angewiesen, dass XMPP-Netz besteht aus vielen eigenständigen Servern, welche, wenn das gewünscht ist, (ein Server im Intranet ist bspw. auch möglich) untereinander kommunizieren. Es ist selbstverständlich auch möglich einen eigenen Server aufzusetzen und so das Netz zu erweitern.

Um XMPP nutzen zu können registriert man sich mit einem BenutzerInnennamen und einem Passwort auf einem XMPP-Server (beispielsweise “jabber.org”, “jabber.ccc.de”,…eine Liste von Servern gibt es hier) und bekommt so eine JID (Jabber-Identifikation) bestehend aus “BenutzerInnenName @ example.org“.

Mit Pidgin (es gibt auch viele andere Clients) funktioniert das über “Konten” -> “Konten verwalten” -> “Hinzufügen“. Dann noch das Protokoll auswählen (XMPP) und BenutzerInnenname (den vor dem @) und Server (das nach dem @) eingeben. Die “Ressource” kann frei gewählt werden und wird wichtig wenn eine JID gleichzeitig an verschiedenen Computern angemeldet ist. Um ein neues Konto zu erstellen muss jetzt noch der Haken bei “dieses neues Konto auf dem Server anlegen” gemacht werden.

xmpp_create_account

In den Einstellungen unter “Erweitert” ist es möglich die Verbindung zum Server mit SSL/TLS zu verschlüsseln, ob allerdings auch der komplette weitere Weg bis zur / zum GesprächspartnerIn verschlüsselt ist, kann der Client nicht kontrollieren. Deshalb ist es sinnvoll die Nachrichten mit PGP oder OTR (OTR Verschlüsselung mit Pidgin wurde im letzten Artikel erläutert) zu verschlüsseln.

Andere NutzerInnen werden übrigens unter “Buddys” -> “Buddy hinzufügen…”  geadded.

Instant Messaging verschlüsseln mit Pidgin und OTR

Pidgin ist ein Multi-Protokoll Instant Messenger und unterstützt neben XMPP (Jabber) auch AIM, ICQ, Bonjour, Google-Talk, Facebook und viele andere Protokolle. Installiert wird Pidgin mit dem Paket

pidgin

Der Vorteil von Pidgin gegenüber Empathy, dem (mittlerweile) standard Instant Messenger von Ubuntu, ist die Möglichkeit die Unterhaltungen zu verschlüsseln. Eine Möglichkeit zur Verschlüsselung stellt das OTR-Plugin dar. Das nötige Paket ist

pidgin-otr

ORT-Verschlüsselung erlaubt Verschlüsselung (Encryption) und Beglaubigung (Authentication), aber (im Gegensatz zu bspw. PGP) auch Abstreitbarkeit (Deniability) und Folgenlosigkeit (Perfect Forward Secrecy) – die Abstreitbarkeit ist möglich, weil die einzelnen Nachrichten keine Signatur enthalten, Folgenlosigkeit bedeutet, dass die Nachrichten auch bei Verlust des privaten Schlüssels nicht kompromittiert werden können.

Nach der Installation muss das “Off-the-Record Messaging-Plugin” unter “Werkzeuge” -> “Plugins” aktiviert werden.

pidgin_otr_plugin

Hat die / der GesprächspartnerIn auch OTR installiert, sollten die Nachrichten automatisch verschlüsselt werden. Eventuell kann das auch unter “Plugin konfigurieren” nachgestellt werden. Zudem ist es auf verschiedenen Wegen möglich das Gegenüber zu authentifizieren, dazu wird während der Unterhaltung auf “OTR” und dann auf “Buddy authentifizieren” geklickt.

GnuPG-Verschlüsselung mit Gedit und Nautilus

Verschlüsselung von Texten mit GnuPG (eine kurze Einführung dazu gibt es in einem früheren Artikel) ist mit Ubuntu unter anderen in “Gedit” oder wahlweise auch mit der “Zwischenablage” möglich. Das dazu nötige Paket

seahorse-plugins

muss allerdings, seit Karmic Koala, mit der “Synaptic-Paketverwaltung” (nach)installiert werden. Danach kann mit einem “Rechtsklick” auf ein Panel und “Zum Panel hinzufügen …“,  “Zwischenablage verschlüsseln” hinzugefügt werden.

seahorse-plugins_zwischenablage

Im Texteditor “Gedit” befindet sich nach der “seahorse-plugins” Installation unter “Bearbeiten” -> “Einstellungen” -> “Plugins“, das “Text-Verschlüsselung“-Plugin.

gedit_text_verschluesselung_plugin

Ist diese aktiviert kann der eingegebene Text durch “Bearbeiten” -> “Verschlüsseln …” bzw. “Signieren …“, verschlüsselt bzw. signiert werden. Entschlüsselung und die Überprüfung Signatur ist hier auch möglich.

Nach der Installation der Plugins ist es außerdem möglich Dateien und Ordner direkt durch einen Rechtsklick (im Dateimanager Nautilus) zu verschlüsseln, zu entschlüsseln und zu signieren oder auch deren Signatur zu überprüfen.

Update [19.11.2011] leider ist ‘seahorse-plugins’ mit Ubuntu 11.10 aus den Paketquellen verschwunden.

Schlüsselbund Passwort ändern

Wer schon einmal sein BenutzerInnen Passwort geändert hat, kennt die Meldung, welche immer nach dem Anmelden erscheint und darauf hinweist, dass das Passwort bei der Anmeldung nicht mit dem des Schlüsselbundes übereinstimmt. Bevor das WLAN verbindet, etc. muss nun nach jedem Systemstart das Passwort des Schlüsselbundes neu eingegeben werden.

Abhilfe schafft hier, dafür zu sorgen, dass das Passwort des (login-) Schlüsselbundes und das BenutzerInnen Passwort identisch sind. Dazu wird der Schlüsselbund geöffnet “System” -> “Einstellungen” -> “Passwörter und Verschlüsselung“.

Schlüsselbund

Ein Rechtsklick auf “Passwörter:login” und dann “Passwort ändern” erlaubt es ein neues Passwort für den Schlüsselbund festzulegen.

Firefox-Lesezeichen mit Dropbox synchronisieren

Es kann sehr praktisch sein die eigenen Lesezeichen über mehrere Rechner zu synchronisieren, bzw. einfach nur ein Backup für den Fall der Fälle zu sichern. Allerdings können Lesezeichen einiges über persönliche Vorlieben, Beschäftigungen, etc.  aussagen, weshalb eine Lösung unabhängig von kommerziellen Abietern (Foxmarks, etc. – auch wenn diese ellenlange Datenschutzerklärungen haben) – vor allem für eher paranoide… – sinnvoll sein kann.

Mit Dropbox und dem Firefox-Plugin SyncPlaces ist das relativ komfortabel möglich.

Die Anleitung ist für eine Konfiguration ohne “Einrichtungsassistent” geschrieben, die Einstellungen können allerdings für den Einrichtungsassistenten übernommen werden. Manche Dinge – wie die Automatikfunktion – lassen sich jedoch im Assistenten nicht einstellen, weshalb sie hinterher nocheinmal unter den “Optionen” (entsprechend dem Artikel) eingestellt werden sollten. (Die nötigen Einstellungen im Assitenten kurz skizziert: “Dateiserver” – “JSON” “Pfad zur Datei (Beispiel: /home/BENUTZERINNENNAME/Dropbox/bookmarks/syncplaces.json)”- “Verschlüsseln: Ja” – “Passwörter Synchronisieren: bei Bedarf” – “Passwort eingeben”)

Sind beide Komponenten (Dropbox / SyncPlaces) installiert (eine Anleitung für Dropbox gibt es in einem früheren Artikel), befindet sich rechts unten im Firefox das SyncPlaces IconSyncPlaces Icon, ein “Linksklick” -> “Optionen” öffnet diese.

Unter “Severeinstellungen” – “Verbindungen” wird Protokoll: “Datei” gewählt.

SyncPlaces Einstellungen Protokoll

In “Severeinstellungen” – “Synchronisation” wird “JSON” gewäht und ein passender Pfad in das Dropbox Verzeichnis angegeben (Beispiel siehe Screenshot).

SyncPlaces Servereinstellungen - Synchronisation

Unter “Optionen” – “Grundeinstellung” wird “JSON-Datei verschlüsseln” gewählt, zwei Haken bei “Lesezeichen nach Änderungen hochladen/herunterladen” und “Lesezeichen zusammenführen, statt zu überschreiben” sind sinnvoll.

SyncPlaces Optionen - Grundeinstellung

Unter “Optionen” – “Automatikfunktion” kann die automatische Synchronisation eingestellt werden.

Erweiterte Einstellungen” – “Zusammenführung“, bietet Möglichkeiten die Lesezeichen zusammenzuführen statt zu überschreiben.

Um die Lesezeichen zu verschlüsseln ist jetzt noch die Angaben eines Passwortes (als sicher gilt = min. 12 Zeichen, Buchstaben, Zahlen und Sonderzeichen verwenden), eines Algorithmus und der Verschlüsselungsstärke unter “Erweiterte Einstellungen” – “Verschlüsselung” notwendig. “AES” Verschlüsselung und “256 Bit” sind sinnvoll.

SyncPlaces Erweiterte Einstellungen - Verschlüsselung

Soweit so gut, mit “OK” bestätigen.

Die gleichen Einstellungen sind auch an den anderen zu synchronisierenden Rechnern vorzunehmen, dann sollte die Synchronisation laufen.

HTTPS Everywhere

Momentan macht “Firesheep” ein Firefox Addon von sich reden, mit welchem es komfortabel möglich ist beispielsweise in offenen WLANs (an der Uni, etc.) die Sitzungen bei vielen häufig genutzen Webdiensten (u.a. Facebook, Twitter, Flickr, Amazon, Windows Live und auch Google) zu klauen. Dies funktioniert, weil viele Dienste zwar den Login Vorgang selbst per SSL verschlüsseln, danach aber meist wieder auf unverschlüsseltes “http” umsteigen. Firesheep übernimmt Sitzungen – beispielsweise eine Einkauftour auf Amazon – durch die Übernahme des unverschlüsselt durch das Netz gehenden Cookies, so ist es dann zum Beispiel möglich ganz ohne Diebstahl des Passworts unter deinem Namen einzukaufen.

Der Autor des Plugins möchte damit auf die Sicherheitsprobleme der Dienste hinweisen, allerdings dauert deren Reaktion erwartungsgemäß immer ein bisschen. Eine simple Möglichkeit seine Sitzungen zu schützen stellt das Firefox Addon “HTTPS Everywhere” dar. Das Plugin sorgt dafür, dass die rein technisch bei vielen Diensten vorhandene SSL Verschlüsselung auch automatisch genutzt wird. Momentan werden Google Search, Wikipedia, Twitter, Facebook, most of Amazon, GMX, WordPress.com blogs, The New York Times, The Washington Post, Paypal, EFF, Tor und Ixquick unterstützt.

Wie das so ist bei technischen Sicherheitsthemen ist, gibt es auch zu SSL-Verschlüsselung kritisches anzumerken, wen es interessiert, dem empfehle ich einen Artikel von Fefes Blog. Selbstverständlich ist das kein Grund die Möglichkeit der SSL-Verschlüsselung nicht zu nutzen…nur die Grenzen der Sicherheit, welche SSL bietet, sollten bekannt sein.

Update Netzpolitik.org berichtet über eine Aktion von “Accessnow” um die Top 100 Websiten der Welt (wer auch immer die wie nominiert hat) zu überzeugen konsequent “https” einzusetzten.

Update [24.11.10] HTTPS Everywhere gibt es jetzt in der Version 0.9.0, auf Heise.de gibt es einen kurzen Artikel zu den Neuerungen.

Dropbox installieren

Dropbox ist ein kommerzieller Online-Datenspeicher, der zu installierende Daemon ist zudem ein proprietärer, allerdings kann Dropbox ein sehr nützliches Programm sein, weshalb es hier vorgestellt werden soll.

Dropbox erstellt einen Ordner im Home Verzeichnis, und alle Dateien welche dort hineinkommen synchronisiert Dropbox automatisch mit dem Dropbox Server. Auf die Daten kann nun beispielsweise mit einem anderen PC (bzw. Smartphone etc.) auf dem Dropbox installiert ist zugegriffen werden. Alternativ ist auch der Zugriff über ein Webinterface, d.h. mit einem Browser möglich.

dropbox_webinterface

Außerdem ist es möglich einzelne Dateien oder auch Fotoalben mit öffentlichen Links freizugeben, Ordner mit anderen Dropbox NutzerInnen zu teilen und es gibt ein Revisionsverwaltung für die Dateien.

Die kostenlose Basisvariante hat 2 GB Speicherplatz, welcher durch die Anwerbung von NutzerInnen bis zu 8 GB erweitert werden kann, pro “Werbung” sind das 250 MB für Werdende / n und Geworbene / n zusätzlich (bei der Gelegenheit mein referral Link http://www.dropbox.com/referrals/NTg4NDgxNzQ5 ^^, wer sich hierüber anmeldet gilt als ‘geworben’ und erweitert sowohl meinen als auch den eigenen Speicherplatz um 250 MB), StudentInnen bekommen 500 MB pro “Werbung” und der Gratisspeicher kann bis zu 16 GB groß werden, wenn sie sich mit ihrer Uni Mailadresse anmelden.

Die Daten werden von Dropbox verschlüsselt gespeichert, allerdings besitzt die Firma die nötigen Schlüssel…Die Daten selbst zusätzlich zu verschlüsseln kann gerade bei sensiblen Daten sinnvoll sein.

Zur Installation unter Linux / Ubuntu stellt Dropbox ein .deb Paket bereit, dieses fügt auch eine Paketquelle hinzu, so dass Updates wie gewohnt mit der Aktualisierungsverwaltung eingespielt werden können.

Das blaue standart Dropbox Icon, welches im Panel angezeigt wird, passt eher schlecht als recht zu den restlichen Icons, kann aber ersetzt werden. Auf drice.org gibt es eine helle und eine dunkle Variante für dunkle und helle Panels, welche lediglich in den Ordner “~/.dropbox-dist/icons/hicolor/16×16/status” verschoben werden muss, um die dortigen Icons zu überschreiben. Dropbox dafür kurz auszuschalten kann nicht schaden.

dropbox_panel_screenshot