Alle Beiträge von adlerweb

Software

PHP (Linux, CLI) clear screen

Schreibe einen Kommentar

Wenn man PHP auf der CLI nutzt könnte man in die Versuchung kommen den Bildschirm leeren zu wollen, also in etwa das selbe, was der Linux-Befehl „clear“ macht. Da bei exec (so vermute ich) die Termcaps nicht übergeben werden funktioniert ein exec(‚clear‘); nicht sonderlich. Wenn man immer das selbe Terminal nutzt lassen sich die nötigen Steuerzeichen direkt als echo hinterlegen. Um die Zeichen zu ermitteln loggt man sich normal auf der gewünschten Konsole ein und startet „clear | xxd“ – hier sieht man die für das aktuelle Terminal nötigen Steuerzeichen in Hex. In meinem Fall

0000000: 1b5b 481b 5b32 4a .[H.[2J

in PHP verpackt ergibt sich dann (ausgeschrieben) folgende Zeile:

echo chr(0x1b) . chr(0x5b) . chr(0x48) . chr(0x1b) . chr(0x5b) . chr(0x32) . chr(0x4a);

Netzkultur

Spaß mit TLS – 1.0 vs. 1.2

Schreibe einen Kommentar

TLS dürfte jedem Internetnutzer bekannt sein – naja, OK, vielleicht nicht unter dem Namen, aber spätestens bei Ablegern wie „HTTPS“ sollte es Klick machen. TLS stellt quasi die Basis der verschlüsselten Kommunikation im Internet dar – Shopping, Onlinebanking, E-Mails & co werden so vor unerwünschten Einblicken geschützt. 1999 wurde die erste Version offiziell spezifiziert, eine Weiterentwicklung der Netscape-Erfindung SSL.

Computertechnik ist nicht gerade dafür bekannt, dass sie sonderlich lange hält, daher ist es kaum verwunderlich, dass der Standard inzwischen mehrmals erneuert wurde. Aktuell ist TLS 1.2 aus dem Jahr 2008, welches u.A. einige Lücken schließt.

Natürlich konnte ich nach dem Hinweis von SemperVideo es nicht lassen mal einen Blick auf diverse Seiten zu werfen. Während viele private Blog und andere Auswüchse des „Social Media“-Bereiches häufig bereits TLS 1.2 im Einsatz haben sieht es bei klassischen Firmen eher mau aus – als Beispiel sei hier der Onlineriese Amazon und die Banken der VR-Gruppe Süd genannt, welche beide lediglich TLS 1.0 anbieten – erstere sogar ohne PFS, welches Angriffe vielfach erleichtert.

Im Falle der Bank konnte ich eine Stellungnahme der GAD erhalten, welche für die Betreuung der technischen Infrastruktur zuständig ist.

Guten Tag,

unsere Sicherheitsstandards werden regelmäßig durch unsere Experten überprüft, verändert und ggf. erneuert. So auch in dem von Ihnen genannten Fall. Eine Aktualisierung ist für das nächste Jahr geplant.

Aussagen der Fachbereiche haben ergeben, dass zwar seit fünf Jahren der Verschlüsselungsstandard TLS 1.2 auf dem Mark ist, aber dass viele Browser und auch Webserver diesen Standard noch nicht unterstützten.

Anbei auch nochmal eine Meldung vom Juli 2013, bez. TLS 1.2 und Browsersupport.

http://www.golem.de/news/tls-1-2-bald-bessere-verschluesselung-fuer-firefox-und-chrome-1307-100370.html

Freundliche Grüße

GAD eG

Prinzipiell verständlich, auch wenn die Aussage, dass der Standard noch nicht unterstützt würde inzwischen großteils überholt ist – zudem ist das System abwärtskompatibel. Wie auch immer: Das Thema scheint beim Dienstleister der Bank bereits bekannt zu sein und der Zeitplan ist für diese Branche bei nicht direkt angreifbaren Sicherheitsupdates relativ zügig – imo angemessene Reaktion, schade, dass man häufig lediglich auf Schweigen oder themenfremde Textblöcke trifft.

Netzkultur

Unterwegs in neuen Währungsgebieten

Schreibe einen Kommentar

OK, zugegeben, das Ganze ist schon fast wieder „Out“, aber ich hab trotzdem mal meine *coin-Börsen reaktiviert. Vorerst wäre ich somit für Bitcoin unter „1Ht9MqscVERB2X7a2tkYywbG1isY5CkCdE“ und für LiteCoin unter „LMfNwkAxCDrtW5JagCiczPiGp2LEFrotkv“ erreichbar – mal schauen, ob ichs irgendwann auch mal praktisch einsetzen kann…

Software

Symantec Backup Exec (RALUS) auf Arch Linux

Schreibe einen Kommentar

Symantec hat für ihr Produkt „Backup Exec“ auch einen Agenten im Angebot, welcher die Sicherung von Linux- und Unix-Systemen ermöglichen soll. Dieser so genannte „Remote Agent for Linux and Unix Servers“ aka RALUS hat leider eine sehr eingeschränkte Kompatibilitätsliste. Zwar gibt es im Netz einige Anleitungen für Debian, für Arch wurde ich aber nicht fündig. Nach ein paar Versuchen war mir die Herkunft der Paketbeschreibung eines Repos für CENTOS auch klar:

It is a crappy tool and you should seriously consider not using it.

Nicht nur, dass die Installationsdaten lediglich versteckt als deb und rpm vorliegen: Teile der Config werden über ein Wirrwarr an Perl-Scripten generiert und bei der Nutzung mit Kerneln >=3 muss man am Kernel oder im Binärcode herumpatchen. Great!

Nungut, inzwischen läuft der Daemon, ein passender PKGBUILD für die mir vorliegende Version (14.0.1798-0, 64 Bit) ist auf Github zu finden. Mit drin ist der Binärpatch für Kompatibilität mit Kernel 3.x sowie etwas Rechtefoo. Da das Ganze mehr eine Vorlage als funktionsfähiges PKGBUILD darstellt wandert’s erst mal nicht ins AUR.

Netzkultur

E-Mail made in Germany?

Schreibe einen Kommentar

Da gerade auf einem meiner alten Accounts Werbung für „E-Mail made in Germany“ aufgeschlagen ist erstelle ich dann hiermit mal meine eigene Zertifizierung:

Verschlüsselung zwischen Server und Endgerät
Alle meine E-Mail werden – wie auch bei „E-Mail made in Germany“ zwischen Server und Endgerät mittels TLS (früher SSL genannt) verschlüsselt. Gegen NSA & Co bringt dies natürlich nichts, da diese sich auf Grund der Zentralen Struktur recht einfach eigene, gültige Zertifikate ausstellen können.

Verschlüsselung zwischen Mailervern
Alle E-Mails werden – wenn von der Gegenseite unterstützt – zwischen den Mailservern verschlüsselt übertragen. Dieses Verfahren ist bereits seit Jahren im Einsatz, ist jedoch ebenfalls für Manipulationen auf Infrastrukturebene anfällig. Bei E-Mail-Provider wie z.B. GMX oder T-Online, welche dieses 1999 spezifizierte Sicherheitsverfahren nicht vollständig unterstützen[1], muss die E-Mail auf dieser Strecke unverschlüsselt übertragen werden.

Sichere Rechenzentren
Alle Server stehen in Rechenzentren, welche über eine Zutrittskontrolle verfügen. Da Angriffe üblicherweise über das Internet erfolgen bzw. Behörden mit richterlichem Beschluss hereingelassen werden müssen hat dies auf die Sicherheits allerdings keine Wirkliche Auswirkung.

Datenspeicherung in Europa
Leider befinden sich nicht alle meine Server in Deutschland, jedoch ist Frankreich beim Thema Datenschutz etwa auf deutschem Niveau. Btw: Meine E-Mails werden fast ausschließlich in Deutschland geschrieben, sind also dennoch „made in germany“ 😉

…und ich lege noch drei Punkte oben drauf:

Keine Speicherung bei Cloud-Diensten
Die Daten werden nicht auf den Speicherdiensten von Cloud-Speichern oder CDNs abgelegt, entsprechend ist zumindest grob bekannt an welcher Stelle die Daten liegen.

Die E-Mail nimmt den kürzesten Weg
Daten werden – sofern möglich – auf dem kürzesten Weg übermittelt und nehmen keinen Umweg über Staaten der „Five Eyes“. [2]

Die Mail kommt verschlüsselt!
Jeder, der GPG nutzt und mir seinen öffentlichen Key bereitstellt erhält meine Kommunikation grundsätzlich in Verschlüsselter form – so lässt sich der Mailtext zwischendurch nicht mitlesen oder Manipulieren.

[1] Beim Test am 26.10.2013 wurden eingehende Mails ohne TLS angeliefert
[2] Alle Rechenzentren sind über DeCix verbunden, Traceroutes zu diversen Testsystemen in Deutschland zeigen – im Gegensatz zum Verhalten einiger anderer Provider – keine Umwege über den Ozean.

Polizeistaatspläne

Abhören ist mir doch egal – moment, ich auch? #merkelphone

Schreibe einen Kommentar

Seit im Juni die ersten Details über Prism, Tempora & Co durchsickerten hüllt sich die Regierung Merkel in Schweigen. Datenschutz war nie ein wirkliches Kernthema der CDU, zudem sind viele der Amerikanischen und Britischen Aktionen in – etwas weniger entwickelter Form – auch in den Forderungen der deutschen Sicherheitsbehörden zu finden: Wir brauchen alle Daten. Vorratsdaten, Videoüberwachung, Banktransaktionen, etc. Die Sicherheit ist ein Supergrundrecht, egal was dafür auf der Strecke bleibt.

Das die Organistaionen der Five Eyes auch auf deutschem Gebiet operieren ist dabei nichts neues – Gesetze aus der Besatzungszeit erlaubten dies explizit und Standorte wie der Berliner Teufelsberg, Bad Aibling oder der Neubau in Wiesbaden werden trotz dichter Hinweise auf Spionage gegen Deutsche Interessen weiterhin geduldet. Weiter noch: Immer wieder finden sich in Unterlagen Hinweise, dass auch deutsch Behörden die Spionageinstrumente selbst nutzten, Daten lieferten oder bei deren Entwicklung eine Rolle spielten.

Statt sich um die nun langsam wach werdenden Zweifel der Bürger zu kümmern werden Whistleblower und Journalisten angegriffen, die Affäre trotz immer neuer Enthüllungen für beendet erklärt – schließlich versichert man, dass alle Aktionen Gesetzmäßig seien.

Letztendlich doch Aufregung – Merkels Handy wäre abgehört worden. Überraschung! Naja, nicht ganz. Es wurde „alles abgehört“ – warum sollte Merkel eine Ausnahme sein? Schon vor Monaten gab es Hinweise, dass G20-Gipfel oder die UN auf der Zielliste standen. Angesichts der Tatsache, dass das Abhören von 80 Millionen Bürgern offenbar geduldet wird, aber ein Handy nun eine solche Welle macht, bleibt irgendwie nur noch Sarkasmus übrig – eine politische Lösung ist angesichts des „Wählerwillens“ kaum in Sicht.

Software

ext4 vs. BTRFS – mal wieder

2 Kommentare

OK, ok, zugegeben, das Thema gibt’s zu Hauf im Netz, aber ich vertraue lieber eigenen Zahlen: Was ist schneller: ext4 oder btrfs? Hintergrund ist ein Backupzwischensystem, welches große Datenmengen schnell verarbeiten muss. Die Kompression von BTRFS wäre angesichts der Kosteneinsparung durch weniger Plattenverbrauch ein schöner Bonus, aber darf nicht auf Kosten der Geschwindigkeit gehen.

Das System ist ein „Low-End“ Dualcore (Intel(R) Pentium(R) CPU G645 @ 2.90GHz) mit 16GB RAM und 4 Hitachi Deskstar 5K3000 á 2TB. Die Platten mit 5300rpm sehen zwar auf den ersten Blick etwas schwachbrüstig aus, da die Daten aber vermutlich sehr groß und entsprechend hoffentlich am Stück geschrieben werden sollte die geringe Drehzahl hoffentlich nicht wirklich ins Gewicht fallen. Das Mainboard (ASRock H77 Pro4/MVP) verfügt über zwei SATA-Controller – der Intel® H77 steuert neben 4 SATA2-Ports zusätzlich 2 Ports mit SATA3 bei, ein ASMedia ASM1061 stellt 2 zusächliche SATA3-Ports bereit. Die Platten wurden über die SATA3-Ports an beide Controller verteilt.

Die Tests liefen auf einem Arch Linux x86_64-System mit Kernel 3.11.2, als RAID kam das im Kernel enthaltene md-Framework zum Einsatz, auf die bei BTRFS integrierte RAID-Funktion verzichte ich, da ich separate Schichten für besser wartbar halte.

Erst einmal die rohen Werte der Platte: Diese lieferten im Test jeweils etwa 140MB/s sequential Read.

Erster Versuch: 1GB sequential Write, die Platten werden dabei erst mal als RAID5 genutzt, in der Hoffnung, dass die Geschwindigkeit noch ausreichend ist. Das Ergebnis ist etwas ernüchternd:

1GB Sequencial File Write
RAID5, EXT4 99MB/s
RAID5, BTRFS 134MB/s
RAID5, BTRFS (LZO) 144MB/s

BTRFS liegt zwar klar vor ext4 und auch die Kompression bringt auf Grund der gut komprimierbaren Quelle einen Geschwindigkeitsschub, insgesamt liegt die Leistung aber unter meinen Anforderungen – 144MB/s könnte die 2GBit/s Uplink grade so bewältigen, aber eigentlich hätte ich schon gerne noch etwas Reserve… Die Antwort dürfte klar sein: Da die Daten hier nur zwischengelagert werden bin ich auf das RAID5 nicht angewiesen, also RAID0 ftw – der erste Blick aufs rohe Device ist vielversprechend: 490MB/s sind ein guter Start – und was machen die Dateisysteme daraus?

RAID0, EXT4 349MB/s
RAID5, BTRFS 376MB/s
RAID5, BTRFS (LZO) 382MB/s

Viel ändert sich nicht – BTRFS mit Kompression erreicht gegenüber ext4 knapp 10% höhere Schreibraten. Die 380MB/s dürften erst bei etwa 4GBit/s uplink an ihre Grenzen stoßen – bis die fällig sind dürfte eher der Plattenplatz ausgehen. Sieger gefunden würde ich sagen: BTRFS schlägt ext4 sowohl bei Geschwindigkeit als auch beim Funktionsumfang – ob es auch die Stabilität der ext-Systeme nacheifern kann wird die Zeit zeigen.

Software

Hinweis zum Gentoo-Update auf www-apps/owncloud-5.0.12

Schreibe einen Kommentar

Kurzer Hinweis zu letzten Owncloud-Update unter Gentoo: Durch eine nicht ganz performante Funktion scheint das ebuild in der Install-Phase zu hängen. Auf einem Atom-System dauerte es 2 Stunden bis Portage den Vorgang abschließen konnte, auf einem i7 mit RAID 15 Minuten, also nicht ungeduldig werden und nach Anstoßen des Updates doch erst mal eine (Familien)Pizza essen gehen. Der Installationsvorgang kann mit lsof auf den Temp-Ordner (/var/tmp/portage/) beobachtet werden.

Polizeistaatspläne

„Das System ist sicher!“

Schreibe einen Kommentar

…diese Aussage gab es eben noch zum Thema eGK. Nochmal zum mitschreiben:

Wenn jemand behauptet ein System wäre sicher dann gibt es dafür 2 mögliche Gründe:

a) Er hat keine Ahnung
b) Er lügt

Sicherheit ist kein absoluter Zustand – mann kann die Sicherheit z.B. durch technische Maßnahmen erhöhen, absolute Sicherheit ist und bleibt ein theoretisches Konstrukt und kann in der Praxis nie erreicht werden. Entsprechend kann man auch die Sicherheit eines Systems nicht nachweisen – nur dessen Unsicherheit.