stefanonline.net

Firefox und Thunderbird mit AppArmor absichern

Der Bundestrojaner ist in aller Munde und wird wohl trotz des Urteils des Bundesverfassungsgerichts kommen. Nicht nur potentielle Terroristen stellen sich daher die Frage, ob und wie man sich vor dem Bundestrojaner (und so natürlich auch vor anderer Malware) schützen kann. Linux-User haben bisher kein Problem mit Malware, da die Plattform für Autoren von Schadsoftware uninteressant ist. Dies trifft aber nicht auf den Bundestrojaner zu, der im Prinzip auch unter Linux zum Einsatz kommen könnte. Bisher wurde vor allem der Versand per Email als Verbreitungsweg vorgeschlagen. Darauf dürften aber nur sehr dumme Benutzer reinfallen, wahrscheinlicher ist daher die Verbreitung durch Sicherheitslücken in Browsern und Mailprogrammen. Diese betreffen Linux meist genauso wie die Windows-Versionen dieser Programme. Daher ist es sinnvoll, die gefährdeten Programme durch eine zusätzliche Schutzschicht vom restlichen System zu trennen.

Eine solche bietet AppArmor, welches bei Ubuntu und openSuse zum Lieferumfang gehört. Mit Hilfe von Profilen wird festgelegt, worauf ein Programm - etwa Firefox - zugreifen und welche Befehle es ausführen darf. So kann man etwa den Zugriff auf das Home-Verzeichnis des Benutzers sperren und Firefox nur auf sein Profil (unter ~/.mozilla/firefox) Zugriff gewähren, obwohl der Benutzer, unter dem Firefox läuft, natürlich auch in sein Home-Verzeichnis schreiben kann. Dies schließt zwar keine Sicherheitslücken, sollte jedoch eine ausgenutzt werden, kann sich der Schädling nicht im System festsetzen, da für ihn die gleichen Regeln wie für Firefox gelten.

Ich habe solche Profile für Mozilla Firefox sowie Thunderbird unter Ubuntu 7.10 erstellt. Sie sind so konzipiert, dass der Benutzer keinen Unterschied spürt. Dennoch dürfen die Anwendungen nur auf die Verzeichnisse zugreifen, bei denen dies nötig ist. Schreibender Zugriff ist nur noch auf das Profilverzeichnis (indem Einstellungen, Browsercache, etc. liegen), sowie einem Ordner downloads im Home-Verzeichnis des aktuellen Benutzers möglich. Dies heißt aber auch, dass Downloads und Mailanhänge (dazu zählen auch PDF-Dateien) zunächst in diesem Verzeichnis abgelegt werden müssen und das ein direkter Start einer Anwendung aus Firefox oder Thunderbird heraus (etwa OpenOffice, um ein Textdokument zu öffnen) nicht mehr möglich ist. Stattdessen muss die Datei im downloads-Ordner abgelegt und dann ganz normal mit der jeweiligen Anwendung, etwa OpenOffice, geöffnet werden. Dieser Komfortverlust ist sicher zu verschmerzen, zumal der Sicherheitsgewinn deutlich höher liegt. Denn diese Vorgehensweise blockiert auch das unabsichtliche Ausführen von Dateianhängen an Emails. Vor einem Risikofaktor schützt jedoch auch AppArmor nicht: Dem Benutzer, der alles bedenkenlos öffnet und ausführt, egal wie dubios die Quelle sein mag.

Um die AppArmor-Profile zu nutzen, müssen die Pakete apparmor und apparmor-utils installiert sein, was bei Ubuntu 7.10 standardmäßig der Fall ist. Laden Sie nun die Profile herunter und entpacken Sie sie in das Verzeichnis /etc/apparmor.d/ (dazu benötigen Sie root-Rechte). Öffnen Sie dazu ein Terminal und wechseln Sie mit cd in das Verzeichnis, in das Sie die Datei ….tgz heruntergeladen haben. Geben Sie dann folgende Befehle ein:

tar xvfz aa-profiles.tgz

sudo cp usr.lib.firefox.firefox /etc/apparmor.d

sudo cp usr.lib.thunderbird.thunderbird /etc/apparmor.d

Nun aktivieren Sie die beiden Profile noch im Enforcing-Modus:

sudo aa-enforce /etc/apparmor.d/*

sudo /etc/init.d/apparmor restart

Mit sudo aa-status können Sie überprüfen, ob alles funktioniert hat. Von nun an Schützt AppArmor Firefox und Thunderbird. Sollten Probleme auftreten, können sie mit folgenden Kommandos den Schutz wieder abstellen:

sudo aa-complain /etc/apparmor.d/usr.lib.firefox.firefox

sudo aa-complain /etc/apparmor.d/usr.lib.thunderbird.thunderbird

sudo /etc/init.d/apparmor restart

Um die Profile weiter zu verbessern, bitte ich Sie, auftretende Probleme entweder in den Kommentaren zu diesem Artikel oder per Email zu melden. Ich werde dann versuchen, das Profil soweit möglich anzupassen.

Tags: apparmor, firefox, howto, internet, Linux, sicherheit, thunderbird

Posted in Howtos, IT, Linux | No Comments »

USB-Stick verfälscht Daten

Auf der Cebit gibt es wie jedes Jahr Werbegeschenke, zum Beispiel USB-Sticks. So auch von der Firma Collax. Was an sich ja auch eigentlich ganz nett ist, wenn man so einen 1 GB USB-Stick geschenkt bekommt. Da ich misstrauisch war, was billige USB-Sticks angeht, lies ich h2testw drüber laufen. Und siehe da, zwar hatte der Stick die angegebene Kapazität von 1 GB, jedoch ist er trotzdem fehlerhaft:

Der Datenträger ist wahrscheinlich defekt.

999,9 MByte OK (2047959 Sektoren)

20,5 KByte DATEN VERLOREN (41 Sektoren)

Details:

0 KByte überschrieben (0 Sektoren)

13,5 KByte leicht verfälscht (< 8 Bit/Sektor, 27 Sektoren)

7 KByte mit Datenmüll (14 Sektoren)

0 KByte mehrfach genutzt (0 Sektoren)

Erster Fehler bei Offset: 0x000000000cc796b0

Soll: 0x639df8f8e7cfc3b0

Ist: 0x639df8f0e7cfc3b0

H2testw Version 1.3

Schreibrate: 1,34 MByte/s

Leserate: 9,47 MByte/s

H2testw v1.4

Die Anzahl der fehlerhaften Sektoren variierte bei mehreren Leseversuchen (bei gleichen Testdaten) von 18 bis 22.

Folgende Daten hat der USB-Stick:

Hersteller: CHIPSBNK
Seriennummer: 2958812168
Vendor ID: 0×204
Product ID 0×6025

Tags: cebit, fälschung, usb-stick

Posted in IT, Notizen | No Comments »

Windows-Systempartition mit TrueCrypt 5 verschlüsseln

Die neue Version 5 von TrueCrypt bietet die Funktion, die Windows-Systempartition zu verschlüsseln. Dieser Artikel beschreibt wie es geht und wo mögliche Fallstricke liegen. Als Betriebssystem kam Windows XP mit dem SP2 zum Einsatz. Nachdem Sie TrueCrypt 5 von der Webseite geladen haben, starten Sie die Installation. Im Installations-Assistenten können Sie alle Vorgaben übernehmen, wichtig ist, im zweiten Schritt “Install” zu wählen, da sich sonst die neue Funktion nicht nutzen lässt. Nach der Installation öffnen Sie TrueCrypt (Start/(Alle Programme)/TrueCrypt/TrueCrypt) und klicken Sie auf Create Volume. In dem nun erscheinenden Assistenten wählen Sie Enrcrypt the system partition or entire system drive aus. und klicken auf Next. Im folgenden Dialog muss man sich entscheiden, ob man nur die Windows-Systempartition oder die gesamte Festplatte verschlüsseln will. Die Auswahl bestätigt man wiederum per Klick auf Next.

Das Vorgehen unterscheidet sich nicht wesentlich von einander, aber dieser Abschnitt behandelt die Verschlüsselung am Beispiel der Systempartition. Im nächsten Schritt muss man angeben, ob Windows das einzige Betriebssystem ist, oder ob parallel dazu noch ein Linux oder ein weiteres Windows installiert ist. Dieser Artikel geht nur auf die Single-boot-Konfiguration ein. Da die Multi-boot-Konfiguration komplexer ist, wird sie in einem extra Artikel behandelt. Nach der Auswahl von Single-boot und einem erneuten Klick auf Next gelangt man zu der von normalen TrueCrypt-Containern bekannten Auswahl des Verschlüsselungsverfahrens, auf die hier nicht näher eingegangen werden soll (weitere Hinweise dazu gibt es auf der TrueCrypt-Webseite). Normalerweise kann man die voreingestellten Werte übernehmen.

Im nächsten Schritt wird nach dem Passwort gefragt, dass zum einem hinreichend sicher sein sollte (Tipps dazu finden Sie im TrueCrypt-Fenster), zum anderen auf gar keinen Fall vergessen werden sollte. Es gibt keine Möglichkeit, das Passwort wiederherzustellen! Sollten Sie es vergessen, haben Sie keine Chance mehr, an die auf der Partition gespeicherten Daten zu kommen. Haben Sie ein Passwort gewählt, folgen Sie einfach dem Assistenten. Bevor die Partition verschlüsselt wird, zwingt TrueCrypt Sie dazu, eine Rettungs-CD zu brennen. Diese dient bei Problemen beim Starten von Windows oder dem TrueCrypt-Bootloader dazu, dennoch an die verschlüsselten Daten zu gelangen. Brennen Sie das von TrueCrypt erzeugte ISO-Image auf CD und legen Sie diese CD ein. Ehedem lässt TrueCrypt es nicht zu, dass Sie mit dem Assistenten fortfahren. Den Wipe Mode können Sie fürs erste auf None stehen lassen, wenn Sie nicht gerade befürchten, dass ein Geheimdienst Ihren Computer klauen könnte ;-).

Im nächsten Schritt wird es dann ernst: TrueCrypt installiert den Bootloader, der Sie noch vor dem Windows-Start nach Ihrem eben festgelegten Passwort fragt. Beachten Sie unbedingt die Hinweise, die vom Programm nun angezeigt werden! Starten Sie danach den Computer wie gefordert neu. Hat alles geklappt, fragt Sie TrueCrypt nach erfolgtem Systemstart, ob Sie die Systempartition nun verschlüsseln wollen. Zur Sicherheit sollten Sie spätestens jetzt ein Backup aller wichtiger Daten, besser noch ein Image der Systempartition anfertigen. Mit Defer können Sie die Verschlüsselung erst einmal aufschieben. Ist alles bereit, startet ein Klick ein Encrypt den Vorgang, der abhängig von der Größe einige Zeit dauern kann. Beachten Sie wieder die Hinweise von TrueCrypt, die weiterhelfen, sollte etwas schiefgehen. Nach dem Abschluss ist die Partition verschlüsselt. Sie können direkt weiterarbeiten, sollten aber durch einen Neustart testen, ob auch alles funktioniert.

Tags: howto, kryptographie, systempartition, truecrypt, verschlüsselung, windows

Posted in Howtos, IT | No Comments »

CD-Menu Open Source

Das Programm CD-Menu in der Unlimited und Standard-Version ist nun Open Source. Es steht von heute an unter der GPL v2 und v3. Der Sourcecode befindet sich hier und kann mit jedem Subversion-Client heruntergeladen werden, etwa mit TortoiseSVN unter Windows oder auf der Kommandozeile mit

svn checkout http://stefanonline.net/svn/cdm/

Der Quelltext selber ist in Borland Delphi 7 geschrieben, sollte aber auch mit dem aktuellen Turbo Delphi funktionieren.

Tags: CD-Menu, delphi, gpl, open source, svn

Posted in CD-Menu, Software | No Comments »

Python-Script: Vokabeltrainer

Ein kleines Python-Script, dass Vokabeln abfragt, die in einer CSV-Datei vorliegen. es steht unter der GPL v2 und v3. Die CSV-Datei muss das Format

“Fremdsprache”;”Übersetzung”

haben, in ISO-8859-15-Codierung vorliegen und “vokabeln.csv” heißen. Der Aufruf des Scripts erfolgt auf der Kommandozeile einfach mittels “python abfrage.py”. Derzeit erfolgt die Vokabelabfrage ebenfalls auf der Kommandozeile.

Das Script sowie eine Beispieldatei findet man hier, das zugehörige PyDev-Eclipse-Projekt hier. Wer selber an dem Script basteln möchte, kann das ganze Projekt mittels

svn checkout http://stefanonline.net/svn/vokabeltrainer/trunk/

herunterladen (oder mittels subclipse).

Todo:

• GUI mit Tkinter
• Mehrere “Vokabelkästen”
• Statistik abspeichern

Tags: gpl, Linux, python, script, tkinter, vokabeln, windows

Posted in Software, Vokabeltrainer | No Comments »

Neues Design

Ich habe der Webseite mal ein neues Design verpasst. Auf der rechten Seite finden Sie die bisher gewohnten Kategorien, sowie das Archiv. Neu ist die Software-Kategorie, die nun die Downloads beinhaltet. Neu sind auch die Tags, die in Schlagworten den Inhalt jedes Beitrags beschreiben. Sie finden die Tag-Wolke ebenfalls rechts. Je öfter ein Tag vorkommt, desto größer erscheint er in der Tag-Wolke.

Tags: design, webseite

Posted in Notizen | No Comments »

CD-Menu SDK

Das Software Development Kit ermöglicht das Entwickeln von eigenen Oberflächen für die CD-Menu Standard-Version. Ein Programmbeispiel in Delphi 7 ist enthalten.

Downloads (287 KB) 

Tags: CD-Menu, sdk, Software, windows

Posted in CD-Menu, Software | No Comments »

CD-Menu

Mit CD-Menu können Sie ansprechende Oberflächen für ihre selbst gebrannten CDs erstellen. Die Standard-Version kann bis zu 4 Menüeinträge aufnehmen, es stehen verschiedene Menü-Oberflächen bereit. Ein Assistent erleichtert die Erstellung.

Download (526 KB) 

Tags: CD-Menu, Software, windows

Posted in CD-Menu, Software | No Comments »

CD-Menu Unlimited

Mit CD-Menu können Sie ansprechende Oberflächen für ihre selbst gebrannten CDs erstellen. Die Unlimited-Version kann beliebig viele Einträge aufnehmen und in Kategorien einordnen. Unter Windows XP können die CDs aus dem Programm heraus gebrannt werden.

Wichtig: Für den Inhalt der CDs, auf denen das CD-Menu zum Einsatz kommt, ist allein der Herausgeber der CDs verantwortlich, NICHT der Autor des Programms “CD-Menu”!

Download (1,26 MB)


Download von www.freeware.de

Tags: CD-Menu, Software, windows

Posted in CD-Menu, Software | 2 Comments »

DirLister

DirLister 2 ist ein leistungsstarkes Programm, um Dateilisten zu erstellen.

Funktionen:

• Individuelles Format der Dateiliste
• Filterung nach Dateimaske oder regulärem Ausdruck.

Version 2.1 behebt einige kleine Fehler.

DirLister benötigt das .Net Framework 1.1, welches hier heruntergeladen werden kann.

Download DirLister (660 kb)

Download von www.freeware.de

Tags: .net, DirLister, windows

Posted in DirLister, Software | Comments Off