Amazon und Sicherheit

Dienstag, 17. Juni 2014
Amazon Buuuuuh!

Warum werden E-Mails nicht verschlüsselt zwischen den Mailservern ausgetauscht, besonders wenn es sich um eine Bestellbestätigung handelt!
Das kann heutzutage schon jeder, nur Amazon meint es nicht machen zu müssen.

Amazon, so muss das Aussehen : "P=esmtps X=TLSv1:AES128-SHA:128" und nicht so "P=esmtp" !

Besser machen !

langsam sehen wir die Rechnung

Dienstag, 5. November 2013
In den letzten Tagen kommen immer mehr Meldungen zum Thema: Wie kann die Verschuldung der Staaten reduziert werden?

In Zypern wurde schon ein Versuch mit einer Zwangsabgabe auf Vermögen über 100.000 EUR durchgeführt. Ein Aufschrei war irgendwie nicht zu hören! :-(
Da die Länder in Europa, auch Deutschland, leider weitermachen wie bisher, denke ich es wird uns in den nächsten 10 Jahren ereilen. Entweder wird das stillschweigend über eine höhere Inflation erfolgen, da leider extrem die Sparer oder es wird eine Abgabe/Steuer auf Vermögen jeglicher Art kommen.

Wir werden mal abwarten wie sich unsere deutschen Politiker dazu äußern werden. :-(

eigener Nameserver

Donnerstag, 17. Oktober 2013
Man ist das eine schwere Geburt! Aber im Detail.

Angefangen hat alles mit einem Artikel auf Heise News über das ORSN (Open Root Server Network) Projekt.
Nach den immer neuen Veröffentlichungen über die Geheimdienste und deren grenzenlosen Überwachung, schon eine tolle Sache, ein DNS-System was nicht so einfach kontrolliert und manipuliert werden kann.
Also, die FritzBox kurz konfiguriert und einen offenen DNS-Server von ORSN benutzen. Cool ging ohne Problem auf Anhieb. :-)
Hm, irgendwie ist die Idee zu gut und ich denke es wäre eine gute Idee selbst so einen ORSN DNS-Server aufzusetzen. Geht total einfach mit der Beispielkonfiguration und einem Bind als DNS-Server!
Die ersten Tage lief das ganz System gut, dann aber lernte ich die Probleme offener DNS-Server (ein Open Resolver beantwortet alle Anfragen zu jeder Domain) und dem DNS System gut kennen! Dazu müssen wir kurz in die Grundlagen von DNS und UDP als Netzwerkprotokoll einsteigen. UDP ist ein verbindungsloses Protokoll, welches sich sehr gut mit einem offenen DNS-Server zum Denial of Service (DoS) gegen andere Systeme benutzen lässt. Dazu muss der Angreifer dem DNS-Server DNS-Anfragen stellen und dabei seine Absender-IP-Adresse fälschen. Dieses Vorgehen vom Angreifer wird IP-Spoofing genannt und erstellt DNS-Antworten zu der gefälschten Absender-IP-Adresse, die die Anfrage gar nicht gestellt hat.
Wenn ein Angreifer nun sehr viele Anfragen (viele hundert und mehr) mit gefälschten Absender-IP-Adressen sendet, erhalten die angegriffenen Systeme die ganzen DNS-Antworten und werden dadurch in ihrer Arbeit beeinträchtigt oder sogar blockiert, da die Systeme und die Infrastruktur mit der schieren Datenmenge klar kommen müssen.
Über meinen DNS-Server wurden so mehr als 2 GB Traffic pro Stunde generiert. Da musste ich die Notbremse ziehen und den DNS-Server wieder abschalten. :-(
Nun sollte eine Lösung her, aber welche? Einige haben versucht mit Firewallregeln die vielen Anfragen abzuwehren und andere haben DNS-Anfragen per TCP erzwungen, was leider zu langsameren DNS-Anfragen führt. Ich habe mich dann für einen Patch entschlossen, der den Bind um ein Response Rate Limit (RRL) erweitert. Dieser Patch, der seit der Version 9.9.4 in der offiziellen Bind Version enthalten ist, kann DNS-Anfragen so begrenzen, dass eine IP-Adresse unbegrenzt Anfragen stellen kann aber nicht mehr alle Anfragen beantwortet werden. Perfekt dachte ich!
Hm, den oder die Angreifer interessierte es überhaupt nicht. Es kamen immer noch tausende Anfragen pro Stunde, aber mein System antwortete nur noch auf jede zehnte Anfrage und siehe da, nach einer Woche hörte die Angriffswelle einfach auf.
Seit dem sieht man immer wieder einmal Tests ob sich mein DNS-Server sich für DoS benutzen lässt, hört aber nach kurzer Zeit wieder auf. Somit ist mein System fast einsetzbar, wenn meine FritzBox nicht öfters meinen würde, dass der DNS-Server nicht da ist. Daran arbeite ich aber noch. Ich gebe nicht so schnell auf. ;-)


Kurz zur Erklärung warum das RRL funktioniert.
Surft eine Person ganz normal, stellt sein System vielleicht 10-50 verschiedene DNS-Anfragen pro Minute an einen DNS-Server. Die Angreifer versuchten es aber mit mehr als 25 DNS-Anfragen pro Sekunde zum immer dem gleichen Zielnamen und einer gefälschten Absender-IP-Adresse, wodurch sich der Angreifer problemlos von einer normalen Person unterscheiden lässt und das RRL zuschlägt. Wenn eine normale Person nun ebenso 25 DNS-Anfragen pro Sekunde zum immer dem gleichen Zielnamen stellt, ist er aber auch ein Angreifer gegen sich selbst und RRL schützt ihn vor sich selbst. ;-)


ungeheuerliche Spritpreise

Donnerstag, 28. März 2013
Heute Abend habe die größte Schweinerei mit Spritpreisen auf etwa 1,5km gesehen!

1,509 Euro Kaufland
1,589 Euro Aral
1,689 Euro Shell

Ein Unterschied von 18 Cent pro Liter Superbenzin schlägt dem Fass den Boden aus!
Dafür werde ich Shell für lange Zeit boykottieren und nur wenn es nicht anders möglich dort Tanken.

Surfen ohne Flash

Freitag, 17. August 2012
Nun starte ich auch meinem Desktop PC das Experiment, ob es sich ohne Flash vernünftig surfen lasst.
Mit meinem iPad funktioniert das äußerst positiv. Die meisten Probleme erwarte ich eigentlich auch nur bei Videos im Internet. Da Google in Youtube mit dem WebM und h.264 Codec einen Ersatz anbietet, gibt es dort fast keine Probleme.

Warum mache ich das überhaupt? Da Adobe nicht mehr Willens ist das Flashplugin unter Linux weiterzuentwickeln und die versprochenen Sicherheitsupdates(siehe Meldung) auch nicht wirklich kommen, wird das Flashplugin einfach entfernt.

Ich werde weiter berichten, welchen Einschränkungen man so alles hinnehmen muss. :-)

Updates überall

Dienstag, 21. Februar 2012
In den letzten Tagen habe ich mal alle mögliche Software auf diesem Server aktualisiert. Man, das macht ja richtig Arbeit.
Zuerst musste mal ein Update der Distribution gemacht werden. Das lief erstaunlich gut, obwohl doch einige alte Pakete übrig blieben und per Hand entfernt werden mussten. Da ich die Distribution nur benötige um einen Compiler zu haben, musste ich danach noch die restliche Software neu kompilieren. Das war nach etwa 3 Stunden erledigt. :-)
Jetzt läuft erst mal alles und ich kann mich noch um spezielle Konfigurationen kümmern, die ich schon immer erledigen wollte.

nun ist der Winter da

Montag, 30. Januar 2012
Nachdem einige schon gedacht hatten, der Winter kommt nicht mehr ins Flachland. Nun ist er da, sogar mit Schnee bei uns!
Endlich haben wir nicht nur Frosttage sondern auch mal Eistage an denen die Temperatur am ganzen Tag unter 0°C liegt.
Die ersten Eisschollen auf der Havel treiben auch schon. :-) Vielleicht reicht es diesmal zu Eislaufen in diesem Winter.

2012

Sonntag, 1. Januar 2012
Allen ein gesundes und ruhiges Jahr 2012.

Mir fällt dabei auf, dass ich 2011 wirklich wenig hier in dem Blog geschrieben habe. :-( Ich nehme mir mal für 2012 vor, dass ich hier mehr schreibe.

Steuersenkung, wieso?

Donnerstag, 10. November 2011
Wie können es sich deutsche Politiker in der größten Schuldenkrise Europa es sich leisten Steuersenkungen zu beschließen? Es ist ja nicht so als ob Deutschland keine Schulden hat. Dieses Trio aus CDU/CSU und FDP verdient es in diesem Punkt verprügelt zu werden. Eigentlich müsste die Schuldenbremse zu einem Neuverschuldungsstopp umgebaut werden.
Zusätzlich müsste sich die Politik mal gründlich den Umgang mit unseren Finanzsystem überlegen. Warum wird dieses Finanzsystem so verhätschelt? Meiner Meinung nach ist das Finanzsystem nicht ganz unschuldig am derzeitigen Schuldenproblem in Europa!

Saab, oh oh!

Donnerstag, 23. Juni 2011
Nach dem ich dachte mit Saab kann es nicht viel weiter Berg ab gehen, lese ich heute Nachrichten über die Nichtzahlung von Löhnen in der FTD. Langsam aber sicher geht es dem Ende zu. :-(
Die Übernahme durch Koenigsegg ist nicht wirklich von Erfolg gekrönt gewesen.
Wieso ging das eigentlich schief? Wer hat GM und Koenigsegg damals nur dazu überredet?

2011

Freitag, 31. Dezember 2010
Jo, 2011 kann kommen. Es ist alles vorbereitet. ;-)

Ich wünsche euch allen, die natürlich den Blog ab und zu mal lesen, einen guten Rutsch ins neue Jahr.

nie wieder Aussenfilter

Sonntag, 12. Dezember 2010
Hm, was bedeutet der Satz?
Da ich ein Aquarium besitze und ich dieses sauber halten möchte, legte ich mir irgendwann mal Filter zu. Meine ersten Filter waren diverse Innenfilter die per Luftstrom angetrieben worden sind. Nach und nach rüstete ich auf, bis ich einen Ausserfilter von Fluval hatte. Der Filter lief bestimmt 10 Jahre, bis ich mir ein neues Aquarium zugelegt hatte. Dieses enthielt nun einen Innenfilter von Juwel. Da alle sagten, ein Innenfilter ist nur etwas für Anfänger legte ich mir einen zweiten Aussenfilter von Fluval zu. Hm, der passte zwar in den Aquriumunterschrank, brummte aber zu viel. Nach etwa einem halben Jahr ging ich wieder zum Innenfilter von Juwel zurück. Das Internet überredete mich aber wieder einen Aussenfilter von EHeim zuzulegen. Der Filter musste ja wieder in den Schrank passen und dadurch entschied ich mich für einen kleinen Filter. Aber egal.
Eigentlich eine umspannende Geschicht, da bis jetzt nichts besonderes passiert ist. Bis vor einem Monat. Da hatte ich den Filter gereinigt und musste ihn also öffnen. Alles wieder zusammengebaut und ab in den Schrank. Zwei Tage später stand der Filter im Schrank in einer Wasserfütze. Nicht so schlimm dachte ich, stellt eine Schale drunter, zog alle Verbindungen nach und gut war. Diesmal war es nur komisch, dass die Luft nicht alleine aus dem Filter ging, ich musste immer wieder bisschen wackeln. Dann war wieder alles gut.
Einen Donnerstag abend stellt ich dann fest, dass der Wasserspiegel nicht mehr auf dem normalem Level war, sonder tiefer!!! O Ohhhhhhhhhh Die Schale war voll Wasser und unter dem Schrank war auch Wasser. Mist! Schnell den Filter raus und alles Wasser aufgewischt. Dabei stellt ich aber fest, das auch etwas Wasser unter das Laminat gelaufen war. :-( Leider soviel, dass ich am Freitag morgen 6 Reihen Laminat rausreißen musste, da sich vor dem Aquarium das Laminat hoch beulte!
Was habe ich aus dem Schaden gelernt?
Ich mache am Aquarium nun mit einem Innenfilter, der auch von EHeim ist, nur noch eine mechanische Reinigung und Wasserumwirblung und keine "biologische" Filterung über einen Ausserfilter mehr! Und was soll ich sagen, die funktioniert ganz gut, ist leise und der Filter lies sich heute superleicht reinigen.

IPv4 neigt sich dem Ende

Donnerstag, 2. Dezember 2010
Das sich der freie Teil von IPv4 Adresse dem Ende zu niegt, müsste fast jedem bekannt sein. Zur Veranschaulichung noch ein kleines Tool:

Geht ganz schön schnell, oder?
Ich müsste dann mal prüfen, ob mein Server und Provider auch schon IPv6 unterstützt!

Tiny Core Linux

Dienstag, 20. Juli 2010
Es wurde dieser Tage die Linux Distribution Tiny Core Linux 3.0 freigegeben. Das an sich ist nichts besonderes, aber wenn man mal auf die Eigenschaften von Tiny Core Linux schaut ist das schon echt ne Wucht!
Tiny Core Linux ist eine etwa 10 MB Große minimal Distribution mit GUI. Es gibt sogar eine noch kleine Version mit 6 MB! Der RAM Verbrauch ist ebenso Krass, es werden 48 MB benötigt.
Das ist schon eine Leistung ein Linuxsystem so abzuspecken und trotzdem ein brauchbares System zu erstellen. Echt genial!

31 Grad Celsius im Büro

Freitag, 2. Juli 2010
Ist das ein schöner Tag heute. Das Eis schmilzt schon vor dem Essen und im Büro klebt man am Stuhl und Tisch! :-(
Morgen wird es noch ein bisschen wärmer werden und dann heißt es einfach nicht bewegen!

Ich will Winter!!!!!!!!!!