Category Archives: Internet

FireFox per SSH zum X11 forwarden

Posted on by

Serverfarmen bei Hostern und Unirechenzentren haben zwei Dinge gemeinsam: Es ist dort ziemlich ungemütlich und die Mitarbeiter müssen auf den Servern trotzdem ab und an Desktopanwendungen ausführen. Jeder der mal als studentische Hilfskraft gearbeitet hat kennt das, wenn ihn sein Mitarbeiter da hinschickt, um was zu machen.

Es gibt dazu allerdings Alternativen:

Man könnte heute sowas wie TeamViewer, VNC oder RemoteDesktop benutzen. Wenn man den ganzen Desktop sehen will, ist das eine feine und sehr nützliche Sache. Oft aber möchte man nur ein Programm ausführen und das unkompliziert und schnell. Den ganzen Desktop ständig zu übermitteln, ist nicht hilfreich. Also haben sich die UNIX Entwickler bereits in den 80zigern des letzten Jahrtausends eine Lösung einfallen lassen, die auch heute noch funktioniert:

das X11-Forwarding

X11-Forwarding leitet Anfragen an den lokalen X11-Display-Server ( der sorgt für das Bild auf einem Linuxrechner )  an eine externe IP Adresse um. Das geht, weil Linuxprogramme von vornherein in einer Client-Server-Umgebung arbeiten. D.b. daß die Programme im Gegensatz zu Windows eine Netzwerkschnittstelle aufrufen um mit dem Display zu sprechen. Damit kann das Display an einem anderen Ort stehen als wo das Programm ausgeführt wird und wenn es auf der anderen Seite der Erde oder im Weltraum ist.

Einziger Haken der Sache, je weiter die Geräte auseinander sind, desto langsamer reagiert das Programm auf Eingaben, weil die Daten erstmal auf die Reise geschickt werden müssen. Die resultierenden Wartezeiten nennt man Latenz.

WOW oder EVE-Online wollen Sie so nicht unbedingt spielen 😉 ( aber es wäre möglich )

Sie brauchen:

einen Linux/Unix Server mit installierten X11 Komponenten und einem SSH-Server. Den nennen wir mal „E“ für Entfernt.
Passend dazu einen Linux/Unix Rechner an dem man das Ergebnis sehen will, den nennen wir mal „L“ für Lokal.

Auf L sollte SSH installiert sein und ein X11-Server laufen. Wenn Sie grade davor sitzen und das hier lesen können, dürfte das bereits der Fall sein. Wenn Sie nur einen Windowsrechner haben, installieren Sie sich XMING ( Nein, nicht verwandt mit Xing ).

Achtung Windowsuser: Sie brauchen auch ein vollwertiges SSH Programm um weiter machen zu können und zwar eins, daß in der Konsole ausgeführt wird. Wenn Sie nur ein SSH Terminalprogramm haben, wärs möglich daß dies X11 Forwarding für Sie unterstützt. Machen Sie sich bitte schlau wie Sie das dort aktivieren.

Die Konfiguration

Auf E ändern wir zunächst die /etc/ssh/ssh_config und aktiveren dort Trustedforwarding:

X11TrustedForwarding yes

Das wars schon.

Von L aus verbinden wir uns mit dieser Option zu E :

ssh -C -Y username@servername

Je nach lokaler SSH Umgebung müssen Sie hier noch Ihr Passwort eingeben, ich kann Ihnen nur einen SSH-Agent empfehlen, da sparen Sie sich sehr viel Getippe.

-Y aktiviert X11TrustedForwarding
-C aktiviert die Kompression, damit geht es etwas schneller.

Auf E geben Sie jetzt mal ein :

echo $DISPLAY

da müßte kommen :

localhost:10.0

jetzt starten Sie einfach das gewünschte Programm, z.b. Firefox. Das geht auch direkt in einem Rutsch:

[marius@eve ~]$ ssh -C -Y root@c1 "firefox"

(process:31671): GLib-CRITICAL **: g_slice_set_config: assertion `sys_page_size == 0' failed
Gtk-Message: Failed to load module "pk-gtk-module"
Gtk-Message: Failed to load module "canberra-gtk-module"

An Fehlermeldungen müssen Sie sich jetzt leider gewöhnen, die sieht man normalerweise ja nicht, weil man die Programme nicht in der Konsole startet. Diese erwarten zurecht eine korrekte X11 Umgebung, die SSH aber nicht gehen kann. Das macht aber i.d.R. keine Probleme. Einfach ignorieren 😉

Das wars schon. Die X11 Verbindung wird durch SSH getunnelt und dabei praktischerweise noch verschlüsselt.

Warum könnte man sowas brauchen ?

Stellen Sie sich mal vor, Sie möchten ein Programm A von einem Server B auf Ihren Server E bekommen, daß 2-5 GB groß ist.

Wenn Sie das jetzt erstmal zu sich und dann auf den Server E kopieren, dauert das Stunden bis Tage, je nach DSL Leitung.

Wenn Sie das aber direkt auf E machen, dauert es ggf. nur Minuten, weil Sie dort 100 Mb/s oder gar Gb/s Anbindungen haben.

Normalerweise würde man sowas mit WGET machen, aber z.b. Oracle gängelt Webseitenbesucher erst noch mit  Cookies und Javascripten, nur damit man Java nicht direkt kopieren kann. Da kommt ein vollwertiger Firefox sehr gelegen.

§303b STGB : Computersabotage

Posted on by

Da wir gerade in der Firma einen aktuellen Fall bearbeiten, möchte ich Ihnen heute zeigen, wie aus einer kleinen Nachläßigkeit eine Straftat erwächst.  Sie werden auch verstehen lernen, wieso Sie auch in zehn Jahren noch Spams bekommen werden.

Unser fiktives Opfer heißt Peter. Peter ist Mitte 50 und hat als selbstständiger Handwerker eine kleine Firma. Seine Kundenaufträge und Abrechnungen macht seine Frau auf dem PC. Damit Peters Firma von seinen Kunden auch gefunden wird, hat er sich eine kleine Webseite bei einem Webhostingunternehmen gemietet und dort natürlich auch ein Mailkonto eingerichtet.

Peter benutzt wie die meisten Unternehmen Windows, da es mit dem PC gekommen ist und seine Frau ja auch Microsofts Office braucht, um Ihre Aufgaben wahrzunehmen. Im Internet surft Peter mit dem Internet Explorer, der ist praktischerweise bei Windows gleich mit dabei. Peter hat auf dem PC ein Antvirenprogramm installiert, da er sehr vorsichtig ist.  Das war vor 6 Jahren.

Eines Tages nimmt seine Frau bei der Recherche eine Banneranzeige in einer Webseite mit einem Seitenblick wahr, vergißt diese aber wieder, da das beworbene nichts für sie ist.  Am nächsten morgen stellt Peter fest, daß er keine EMails mehr vom Mailserver abholen kann. Es erscheint immer eine Fehlermeldung, wenn er das probiert.

Im Laufe des  Tages meldet sich das Hostingunternehmen  bei Peter in der Firma.  Einem Admin war aufgefallen, daß der Mailserver auf dem Peters Webseite liegt, so merkwürdig langsam läuft und sich die Emails in der Warteschlange des Mailserver ansammeln. Der Admin hat sich den Mailserver angesehen und dabei festgestellt, daß hunderte von IP Adressen EMails nach Russland schicken. Bei genauer Betrachtung stellte der Admin fest, daß dazu nur ein Satz an Zugangsdaten benutzt wird. Die Zugangsdaten sind zwingend notwendig um über diesen Mailserver Emails verschicken zu können. Das kompromittierte Mailkonto wird umgehend gesperrt.

Die Logfiles des Servers wurden gesichert und genau ausgewertet.

Zum jetzigen Zeitpunkt haben wir zwei Straftaten:

1. Den Einbruch in den PC von Peter, der nach §202 StGB geahndet werden könnte  (siehe Beitrag Google & Co ), da hier Unbefugte gesicherte Daten abgegriffen haben.

2. Der betriebsstörende Eingriff in eine Datenverarbeitungsanlage ( Beamtisch für Computer )

Die zweite Straftat wird nach §303b StGB mit bis zu zehn Jahren Freiheitsentzug geahndet ( schwere Störung / im Auszug nicht enthalten ).

Auszug aus §303b StGB :

„(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.“

Peter versteht derweil die Welt nicht mehr. Der Mitarbeiter der Hostingfirma hat Peter gerade eröffnet, daß Peter diesen Vorfall selbst verursacht hat und daher die Kosten für die Beseitigung der Folgen der vielen Emails geradestehen muß.  Peter sieht aber gar keinen Einbruch auf seinem PC, der funktioniert bis auf die Emails ja ganz normal. Das kann ja alles nicht sein, da er ja ein Antivirenprogramm einsetzt.  Der Hostingmitarbeiter empfiehlt Peter dringend  einen Fachmann zu konsultieren, der seinen PC auf Schadsoftware überprüft, schliesslich können die Angreifer auf die gesamte Geschäftskommunikation zugreifen und auf alle Geschäftsgeheimnisse und Kundendaten. Bis diese Prüfung nicht stattgefunden hat, darf Peter die Dienste des Hostingunternehmens nicht mehr in Anspruch nehmen, da dies für die anderen Kunden zu gefährlich wäre.  Notgedrungen ruft Peter einen Fachmann an.

In der Zwischenzeit haben die Admins des Hostingunternehmens die gefundenen Daten aufbereitet und an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geschickt. Das BSI arbeitet eng mit den CERT-BUND zusammen, daß die IP Adressen nehmen wird und die beteiligten Provider ermittelt und kontaktiert. Für die betroffenen Besitzer der beteiligten Computer wird es ähnlich sein, wie bei Peter. Sie werden es zu nächst nicht glauben.

Für das Fachkomissariat Cyberkriminalität der Polizei haben die Admins einen genauen Bericht verfaßt und auf die Ermittlungen des BSI verwiesen. Ein Mitarbeiter der Hostingfirma bringt die Unterlagen selbst zum Kriminal Dauerdienst und unterschreibt die Strafanzeige im Namen der Firma. Kosten entstehen hier für keine.

Peter hat mittlerweile einen Fachmann gefunden, der direkt vor Ort eine Prüfung durchführt. Der Fachmann stößt auf einige Ungereimtheiten auf dem PC. Das nicht mehr vom Microsoft unterstützte Betriebssystem Windows XP, das Word 2004, der IE 6 und das Antivirenprogramm, daß 2009 das letzte Update gemacht hat, sind ein starkes Indiz dafür, daß es um die Sicherheit des Pcs nicht zum Besten steht. Der Fachmann führt nun einen Virenscan durch, in dem er ein passendes Programm von einer CD bootet.

Nach zwei Stunden steht fest, daß sich bereits 15 verschiedene Trojaner auf dem PC getummelt haben, bevor sich Peters Frau den Drive-by-Trojaner des verseuchten Bannerservers eingefangen hat. Da der PC auch bereits 8 Jahre alt ist, lohnt sich ein auf Stand bringen des Pcs wirtschaftlich nicht mehr. Die Viren und Trojaner kann der Fachmann leicht entfernen, aber für das XP kommt jede Hilfe zu spät. Ein neuer PC ist fällig.

Die mit dem obligatorischen Windows Wechsel verbundenen Folgekosten durch Anschaffung und Einarbeitung übertreffen die Kosten für den Fachmann, der sich bei Zeiten um den PC kümmert, bei weitem.

Da muß Peter jetzt durch. Auch der Umstand, daß Peter sich um die Fehlermeldungen des Windows XP nicht gekümmert hat, macht die Sache für ihn noch schlimmer. Auch daß die Daten nicht mehr zwischen altem und neuen PC ausgetauscht werden können, weil die Programme nach zehn Jahren inkompatibel geworden sind, macht es Peter nicht einfacher. Auch hier hätte ein kontinuierliches Update von Office das Problem verhindert.

Peter kann derweil dem Hostingunternehmen vermelden, daß er einen neuen PC anschafft und der alte nicht mehr ans Netz gehen wird. Der Mitarbeiter am Telefon informiert Peter, daß er erstmal mit seinem Handy Emails lesen kann, bis er den neuen PC eingerichtet hat. Ferner wird ihm mitgeteilt, daß er demnächst einen Brief der Staatsanwaltschaft bekommen wird, da er als Zeuge bzw. Geschädigter in der Strafanzeige des Unternehmens vorkommt und eine Zeugenaussage machen soll. Peter ist davon wenig begeistert, sieht aber ein, daß die Straftat verfolgt werden muß. Es besteht schliesslich  immer die Hoffnung, daß der Täter ermittelt wird.

Leider ist Peter kein Einzelfall. Täglich werden tausende von privaten Pcs kompromittiert und in großen Botnetzen zu Sklaven ihrer neuen Meister. Ich kann nur an Sie appellieren, seien Sie schlauer als Peter, halten Sie Ihren PC auf Stand und fragen Sie einen Fachmann, wie Sie sich schützen können. Sehen Sie die Geldausgaben als Versicherung gegen zukünftige Schäden an, denn genau das ist es.