Category Archives: Internet

Android: Firefox übermittelt jede Tasteneingabe

Posted on by

Mein neuestes Projekt, die mobile Sicherheit von Handies ergründen, hat schon seinen ersten Treffer geliefert.

Zu meinem Erstaunen übertrug Firefox jede Tastatureingabe bei der Eingabe einer URL an einen dubiosen Server ohne Namen. Wie sich rausstellte, werden dadurch die Suchvorschläge erzeugt, auch wenn man URLs eintippt.

Das ist natürlich grade bei privaten Domains oder Urls mit Parametern ein Problem, weil irgendein Server das natürlich zusammensetzen kann. Ein eigenes Suchfeld, wie beim Desktopbrowser wäre die Lösung, aber da brauchen wir nicht drauf hoffen. Mir ist natürlich auch klar, daß der Platz auf einem Handy Display begrenzt ist, aber schön wärs, wenn der Datenschutz zuerst käme, man es also einschalten müßte.

Wer das nicht will, kann das in den Einstellungen zu Suchmaschinen abschalten.

Fritz!Box vs. Blitz … und wieder rauchts

Posted on by

Und wieder zog dunkler Rauch durch die Wohnung, diesmal allerdings nur kurz und fast unbemerkt, dafür mit extrem viel Kawumm und greller Blendung begleitet, zumindest für die, die es sehen konnten. Wir, die wir in der Wohnung vor dem Rechner saßen, gabs nur einen lauten Knall als der Blitz ins Haus einschlug,  dann wars Internet weg. Genau, das Gewitter gestern hat unsere Fritz!Box gegrillt.

Drei Dinge sind jetzt wichtig..

  1. Den Zugang zum Netz wieder herstellen,
  2. der Versicherung den Schaden melden
  3. und natürlich für Ersatz zu sorgen

2. + 3. kriegt Ihr auch ohne Hilfe wieder hin 🙂 Konzentrieren wir uns mal auf das Aufbauen eines Notfallnetzes und dem Zugang für alle Rechner zum neuen Internetrouter.

In der Regel wird man sein Netz so aufgebaut haben, daß der DSL-Router das Gateway für alle am Netz angeschlossenen Rechner ist. Der Punkt ist tod. Und jetzt ?

Wir brauchen einen neuen Zugangspunkt zum Netz

Also Handy anwerfen, Mobile Daten aktivieren und den Mobilen Hotspot anschmeissen. Wie die meisten Handies hat meins keinen LAN Anschluß, so daß ich den Desktoprechner nicht an den Hotspot anmelden kann, aber mein Laptop hat das, nennt sich WiFi 🙂 .

Gut, wie man sich an einem WiFI Netz anmeldet, brauche ich glaube ich nicht erklären. Hier könnte die Story natürlich zuende sein, weil das Laptop ist ja auch ein Rechner und für ein paar Stunden wird man damit Arbeiten können. Joar, kann man so stehen lassen, oder man hat keinen Bock auf den PC zu verzichten, dann braucht man eine LAN -> WIFI Brücke.

Praktisch, so ein Laptop hat eine LAN Buchse, oder auch zwei. Da geht bestimmt was 🙂 Na klar geht das:

Hinweis: Die hier benutzten IP Angaben und Interfacenamen  müssen von Euch angepaßt werden. Alle Anpassungen müssen von ROOT vorgenommen werden.

Einloggen ins Wifi
Netzwerkkarte im Networkmanager abschalten und Netzwerkkarte selbst mit einer IP versehen:

iptables enp2s0f1 192.168.1.123 netmask 255.255.255.0 up

Jetzt hat man auch einen Routingeintrag, aber noch keine Bridge. Das Paketforwarding aktivieren:

echo 1 > /proc/sys/net/ipv4/ip_forward;

jetzt noch das NAT aktivieren:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;

und die Firewall abschalten ( vorläufig ) :

systemctl stop firewalld

Ihr fragt Euch warum ? Der Firewalldaemon setzt eigene Regeln in Kraft, womit er das Forwarding jederzeit unterbinden oder abschalten kann. Das ist beim Testen echt lästig.  Außerdem verhindern diverse Firewallregeln das Paketforwarding, weil wir ja auch Pakete deren State wir nicht kennen, forwarden wollen und zwar immer und zu jederzeit in jede Richtung. Da sind so Abfragen, ob es sich um eine TCP Session handelt, eher hinderlich. Aber das könnt Ihr natürlich selbst entscheiden.

Danach sollte Eurer Notfallrouter funktionieren. Jetzt muß man die 192.168.1.123 nur noch als GATEWAY im Desktoprechner eintragen:

route del default gw 192.168.178.1   ( wenn man eine Fritzbox ungeändert hat stehen lassen )
route add default gw 192.168.1.123

Das setzt natürlich voraus, daß Ihr auch eine IP und Netzmaske auf dem Desktop habt, welche die 1.123 erreichen kann. Das ist, sofern das DHCP von der Fritzbox kam, nicht der Fall. Ihr könnt natürlich auch einfach eine IP aus dem bisherigen Netzbereich als RouterIP nehmen, dann müßt Ihr nicht darauf achten.

Also hatten wir ein paar MInuten nach dem Ausfall der Fritz!box wieder  Internet, aber dank EDGE 🙁 nur 25 KB/s , was echt zu nervigen Reaktionen von Thunderbird geführt hat, daß Geisterbefehle ohne Ende gelaggt hat 😀

Da ich bereits wieder unter Volllast im Internet bin, kann ich Euch sagen, daß man das Problem in wenigen Stunden komplett aus der Welt schaffen kann. Morges eine neue Fritz!Box gekauft, kurz mit Laptop durchkonfiguriert und Rechner hochgefahren. Dann mit der Versicherung gesprochen, wegen Kostenübernahme per Hausratversicherung. Nach nur 5 Minuten hatte ich die Zusage, daß es ohne weitere Prüfungen bezahlt wird, weil a) bekannt war, daß der Blitz eingeschlagen hat und b) ich das Gutachten zum Überspannungsschaden hätte selbst schreiben können, was dann wohl als überflüssig angesehen wurde. Also liebe Kinder, eine solide Ausbildung im IT und Elektronikbereich hilft auch im Alltag 😉

Strategisch ist das auch von der Versicherung ok, weil für die läppischen 170 € für die neue Box, auch noch ein Gutachten über 50 € einholen, wäre wirtschaftlicher Blödsinn. Bei Waschmaschine oder Kühlschrank wäre das was anderes gewesen.

„Öffentliche Sachversicherung“  gut gemacht 😀

Jetzt noch eine Checkliste die Euch helfen könnte. Die setzt vorraus, daß alle Prüfungen negativ sind:

  1. Fritz!Box  vom Netz trennen und nach 30 Sekunden wieder anstöpseln
  2. Netzteil der Box auf die angegebenen 12 V prüfen
  3. Per Handy mit dem DSL Anbieter reden und eine Prüfung der Leitung vornehmen lassen, damit man nicht umsonst eine teure Box im laden kauft, wo man die auch billiger bei Amazon bekommen könnte, denn wenn auch der Schaltkasten geraucht hat, braucht man üblicherweise auch sofort keine neue Box mehr 🙂
  4. Handynotfallnetz aufbauen oder mit Freunden ausgehen um die Zeit tod zu schlagen 😀
  5. Neue Box kaufen und anschliessen.
  6. Mit der Versicherung reden.

Zum Schluß noch Zitate, wenn man mit AVM und 1und1 spricht :

Ich: „Kann ich ohne weiteres den damaligen Konfigurationscode von 1und1 benutzen, wenn ich eine neue Box anschliesse, oder war die alte 7412 Box von 1und1 gebrandet worden ?“

AVM: „vielen Dank für Ihre Anfrage an den AVM Support. Gerne sende ich Ihnen Informationen über die Einrichtung der FRITZ!Box 7412 zu.“

Ich: „Haben Sie die Frage eigentlich gelesen und verstanden ?“
AVM: „Ich habe Ihre Frage so verstanden, dass Sie eine neue FRITZ!Box 7412 an ihrem Anschluss einsetzen müssen. “
Der Rest der Antworten war dann wieder ok 😉

Ich: „bei mir ist der Blitz eingeschlagen. Meine Box ist tod, aber das Netzteil ist ok, habs durchgemessen. Können Sie bitte die Leitung checken, damit da nicht noch mehr defekt ist, was mir dann morgen im Weg ist.“
1und1: „Haben Sie die Box schon mal von  Netz getrennt?“
Ich: „Ich sag doch da ist der Blitz eingeschlagen, die ist komplett tod, außerdem sprechen Sie mit einem gelernten Elektroniker.“
1und1: „Tut mir leid, aber ich muß mich ans Programm halten.“
Ich: „Ja.“

Was lernen wir daraus ?

Morgens als Firstlevel Supporter keine Textblöcke rausmailen, wenn man noch keinen Kaffee hatte und warum Fachkräften glauben, wenn man ein Programm hat  ? 😀

Hier nochmals für alle „JA! Die Box ist tod. Die hat noch 20 Minuten nach dem Blitzeinschlag Fieber gehabt, so warm war die durch die 1.8 GIGA WATT eines Blitzes!“

Sparkassen-Shop mit Tracking und unsicheren Webseiten

Posted on by

Da wollte man so harmlos mal die Webseiten der Braunschweigischen Landessparkasse aka. Norddeutsche Landesbank oder kurz NORD/LB, benutzen, da zieht ein merkwürdiger Werbelink meine Aufmerksamkeit auf sich : http://www.sparkassen-shop.de

Hätte ich mal nicht hingeschaut :

SSL-Report des Sparkassen-shops mit Fehlermeldungen. Die Webseite ist als unsicher markiert und der Schlüssel entspricht nciht mehr so ganz den Ansprüchen an einen sicheren SSL Key

SSL-Report des Sparkassen-shops

Wie man schön sehen kann, stimmt was mit der HTTPS Seite nicht, weil der Browser schon von sich aus warnt, daß unsichere Links enthalten sind. Da sowas mein Job ist, kurz mal FireBug aktiviert und nachgesehen. Das hätte ich mal besser nicht machen sollen 😀

oh wie peinlich :  ERWISCHT beim Tracken

Da fand sich dann folgender Trackinglink der hauseigenen PIWIK Installation:

<img src=“http://piwik.sparkassenverlag.de/piwik/piwik.php?idsite=18″ style=“border:0;“ alt=““ />

sowas gehört auf einer HTTPS Seite natürlich auch mit HTTPS:// eingebunden !
Lustigerweise macht der Code-Schnippsel von PIWIK selbst, das richtig 🙂

Damit haben wir die Quelle der Browsermeldung, aber wenn wir schon dabei sind,  was zum Geier soll das sein ?!?

<a href=“http://www.blsk.de“ target=“_blank“>

Seit wann braucht man hardgecodete HTML Entitätsersatzanweisungen aus dem UTF-8 Zeichensatz für ein simples „://“ ?!?

Da kann man nur mit dem Kopfschütteln 🙂

Schlüssellängen

Aber warum habe ich jetzt eigentlich in dem SSL-Report die Schlüssellänge und den HASH-Algo markiert ?

Für die meisten (Männer) gilt die Formel :  Länge * Angelerfahrung => Menge(Selbstbewußtsein), lustigerweise gilt das auch für Webseitenverschlüsselungen. 2048bit Schlüssellänge waren vor Jahren mal empfohlen als ausreichend, ein paar konservative Fachmenschen würden das heute noch empfehlen, aber für eine Bank, da kann man nur zu einer vernünftigen Schlüssellänge von 4096+ Bits raten. Denn das sollte ja wohl sicher sein, oder war Fort Knox mit Wattebällchen abgesichert ?

Fazit

Diese Webseite gehört zu Kategorie: „Hätten Sie mal jemanden ohne Zertifikat gefragt“. Aber nicht alles ist schlecht, denn insgeheim hatte ich mit Google Analytics gerechnet zum Tracken der Benutzer und da ist mir PIWIK auf den eigenen Servern des Webseitenbetreibers natürlich lieber.

Da diese Grafik (oben) aber geladen wird, noch bevor man die Chance hatte, die Datenschutzerklärung zu lesen und die Seite ohne Tracking wieder zu verlassen, ist es wohl nur eine Frage der Zeit, bis der Datenschutz die Seite dicht macht. Wir sind ja hier in der EU, die auch eine Einwilligung zum Tracking per Einsatz von Cookies vorraussetzt.

Nur so ein Denkanstoß an die Verantwortlichen: Auf der Startseite brauch man noch kein Tracking, wie oft die aufgerufen wurde, sagt einem auch ohne weiteres das Apache Domlog.

Weiter als die Startseite durchzusehen, habe ich mich dann nicht getraut, ich hatte Angst, daß ich heute Nacht noch an dem Artikel sitzen würde 😉