Archiv der Kategorie: PC-Kram

Meine Lieblingsbeschäftigung :)

Hardware

ATA-(in)Security: Passwortschutz eingeschalteter PCs wirkungslos

3 Kommentare

Die meisten aktuell auf dem Markt verfügbaren ATA- und Serial-ATA-Festplatten verfügen über einen 32 Byte langen Passwortschutz mit General- und Nutzerschlüssel, ohne den nicht auf die Daten der Festplatte zugegriffen werden kann.

So beschreibt die Wikipedia den Passwortschutz aktueller Festplatten. Startet man den PC muss man wärend des bootens ein Kennwort eingeben, ohne ist die Festplatte nicht ansprechbar. Einige sehen diese Funktion als Ersatz für eine Festplattenverschlüsselung: Startet man den PC neu wird die Festplatte wieder gesperrt und ist nicht zugreifbar.

Mit dieser Methode sollen Bösewichter abgewehrt werden – versucht man einen softwareseitig gesperrten PC neu zu starten um beispielsweise über eine CD oder einen USB-Stick mit Passwortknacker Zugriff zu erhalten verliert man die Festplattenberechtigung und verspielt vorerst jede Chance ins System zu kommen. Leider funktioniert dieser Schutz nur in der Theorie. Ein einfacher Versuch beweist, dass auch Personen mit nur grundlegenden PC-Kenntnissen Zugriff auf die Daten erlangen können.

Als Testmodell stand ein Desktop-PC des Typs Dell Optiplex 740 zur Verfügung. Die inerne Festplatte wurde über die korrespondierende BIOS-Funktion geschützt. In der Ausgangslage befand sich der Rechner in einem Windows-Betriebssystem und war gesperrt.

Die übliche Vorgehensweise bei einer solchen Lage wäre wohl ein Neustart mit Werkzeugen wie z.B. Kon-boot, welche jedoch an der Sperrung der Festplatte scheitern würden. Eine weitere Möglichkeit wären Cold-Boot-Attacken, welche inzwischen auch ohne Kältespray und Spezialhardware durchgeführt werden können. Diese Angriffsart wirft jedoch nur begrenzt Daten ab, lediglich gecachte Dateien können ausgelesen werden. Es gibt jedoch eine Möglichkeit die ATA-Sperre zu umgehen, die fast zu einfach ist um wahr zu sein:

Voraussetzung ist ein weiterer PC (bzw. Note-/Netbook) sowie ein (S)ATA->USB-Adapter. Öffnet man das Gehäuse, entfernt das Datenkabel der Festplatte und klemmt Diese mit Hilfe des USB-Adapters an den zusätzlichen Rechner an erhält man vollen Zugriff auf die Daten der Festplatte. Wichtig dabei ist, dass man den Ursprungs-PC nicht neu startet oder das Stromkabel der Festplatte entfernt. Mit dieser Kombination ist es ein leichtes Daten der Festplatte zu kopieren oder Kennwörter auszulesen.

Als Vorsichtsmaßnahme sollte man daher diesen Schutz immer mit einer weiteren Verschlüsselung wie z.B. Truecrypt kombinieren. In dieser Konstellation lässt sich eine weitere Schutzebene installieren, bei welcher es zwar weiterhin möglich ist per Cold-Boot-Attacke den Truecrypt-Key zu ermitteln und die verschlüsselte Festplatte über den USB-Umweg zu mounten, allerdings ist der Aufwand einen vergleichsweise kleinen Truecrypt-Key in den Gigabytes eines RAM-Dump zu finden zeitaufwendig und verdirbt Angreifern eventuell die Laune.

Software

Vorsicht bei Git als Homepage-Versionsmanagement

Schreibe einen Kommentar

Die Versionsverwaltung Git findet inzwischen immer mehr Anhänger. Kein Wunder, vereinfachen doch die dezentrale Struktur und simple technische Voraussetzungen die Nutzung eines Versionsmanagement enorm. Auch für die Verwaltung von Webseiten begegnet mir Git in letzter Zeit häufiger, allerdings haben die Webmaster nicht selten zu kurz gedacht: Git speichert seine Daten als versteckten Ordner. Verwendet man die Datenbasis des Repository auf seinem Webserver ist dieser entsprechend auch dabei und ohne weitere Vorkehrungen auch im Netz erreichbar. Bei mehreren getesteten Seiten ist es so möglich durch Öffnen des Ordners „.git“ an Daten zu kommen, welche möglicherweise nicht für die Öffentlichkeit bestimmt sind. Unter /.git/logs/HEAD findet sich z.B. eine Auflistung aller Änderungen – samt Autoren. Interessant dürfte auch der Ordner „objects“ sein – hier liegen die Änderungen selbst – natürlich auch eventuelle Config-Dateien mit Passwörtern. Zwar nutzt Git ein eigenes Format und gibt keinen Reintext aus, entsprechende Programme um die Dateien zu lesen sind aber natürlich verfügbar.

Eine einfache Abhilfe bietet auf den ersten Blick das Ausblenden der .git-Ordners bzw. aller „Dot-Files“. Dies schützt jedoch nicht vor direktem Aufruf der Unterordner!

Bei mir verwende ich nun folgendes Sniplet aus dem Joyent-Forum:

<directorymatch „^/.*/.(git|svn)/“>
Order deny,allow
Deny from all
</directorymatch>

Dieses muss in die Apache-Config geschrieben werden, in einer .htaccess funktioniert es nicht. Hat man keinen Zugang zur Konfiguration könnte man alternativ direkt im .git-Verzeichnis eine passende .htaccess anlegen, ob diese Methode Git durcheinander bringt habe ich allerdings nicht getestet.

Update:

In oben genannten Forum findet sich noch folgende Möglichkeit basierend auf mod_rewrite. Damit funktionierts auch per .htaccess.

RewriteEngine On
RewriteRule ^.git - [F,L]
Software

Gentoo: Kaputtes java_config reparieren

Schreibe einen Kommentar

In letzter Zeit hat sich hier durch Python-Updates auf mehreren Rechner java_config zerlegt. Versuchte ein ebuild auf Java zuzugreifen oder startete man eine Java-Software brach das jeweilige Programm mein einer solchen Meldung ab:

Traceback (most recent call last):
File „/usr/bin/java-config-2“, line 8, in
from java_config_2 import __version__
ImportError: No module named java_config_2

Da python-updater und revdep-rebuild nichts fanden war Handarbeit gefragt, die Neuinstallation der folgenden Pakete sollte Abhilfe schaffen:

emerge -1 java-config java-config-wrapper

via GentooForum.de

AVR

Erste iSysBus-Prototypen

Schreibe einen Kommentar

Heute brachte der Postbote etwas ganz besonderes: Die ersten Prototypen für iSysBus-Nodes. Platinen für zwei Devnodes und zwei IO-Nodes sollen die ersten Auswüchse des CAN-basierten Bus-Systems darstellen. Inzwischen ist von jeder Sorte einer komplett aufgebaut und durchgemessen – ja, ich habe den Kampf gegen die SMD-Bauteile gewonnen. Morgen darf dann der Devnode seine ersten Lebenszeichen in Form von Debugmeldungen von sich geben.
19176

Hardware

Canon A590is – Eine Sadisten-Kamera?

Schreibe einen Kommentar

Eingentlich ist die A590 ja ein feines Ding – brauchbare Bildqualität, geringer Stromverbrauch und Kompakt ist sie auch. Eine Funktion durfte ich Heute allerdings entdecken, mit der ich nicht so einverstanden bin. Ich wollte einige Fotos von Platinen aufnehmen, an denen ich gerade am basteln war. Entsprechend hatte ich ein Erdungsarmband an, die Kamera war Mangels Akkuleistung an einem Netzteil gelandet. Nunja, das Kameragehäuse hat an der Front einen Metallstreifen und in meiner Kombination – sagen wir man ist bei Berührung schlagartig wach… Ich werde heute mal mein Messgerät dran halten um zu schauen wo die Spannung da herkommt, fürs erste widme ich mich allerdings wieder dem Kapf gegen die Stechmücken.

Hardware

Performancetechnischer Quantensprung

Schreibe einen Kommentar

Manchmal können einem auch Azubis etwas beibringen: Ich arbeite an meinem Home-Arbeitsplatz mit 4 Monitoren welche bisher durch eine GeForce 8600 am PEG und eine 5700er im PCI-Slot versorgt wurden. Dummerweise sind die Chips sehr weit auseinander, was zur Folge hatte, dass der NVidia-Treiber im 4-Monitor-Betrieb sämtliche 3D-Funktionen der Hardware abschaltete. Ergebnis: Selbst Firefox brauchte schonmal über 10 Sekunden bis eine neue Seite auf dem Schirm gerendert war. An Videos war nicht zu denken. Damals hatte ich auf SLI gehofft, allerdings war bei meiner Recherche immer nur von SLI Frame Rendering die Rede, also dass beide GraKas sich die Arbeit teilen und nicht mehrere Monitore unterstützen. Ein Azubi erklärte mir nun, dass es wohl auch einen 4-Monitor-Modus gäbe und lieh mir eine SLI-Bridge aus seinem Besand. Was soll ich sagen? Zusammen mit einer Zweiten 8600, welche noch im Schrank lag, habe ich nun 4 Monitore mit voller 3D-Beschleunigung – selbst UT lässt sich starten (OK, leider erkennt es bei 4 Monitoren die Maus nicht).

Netzkultur

Postmaster-FAIL

Schreibe einen Kommentar

Nenene – da ist man schon so nett den entsprechenden Postmaster des rumspammenden Servers einer deutschen Firma anzuschreiben anstatt direkt eine Mail an den Provider-Abuse zu schreiben und was erhält man als Dankeschön?

Subject: Nicht gelesen: Fehlerhafte Mailserverkonfiguration
Ihre Nachricht wurde ungelesen gelöscht um Dienstag, 11. August 2009 05:27:59 (GMT+01:00) Amsterdam, Berlin, Bern, Rom, Stockholm, Wien.

Gibt Leute, denen sollte man mal erklären, dass so ein eigener Mailserver auch Pflichten mit sich bringt…

Software

Wiki-Fail?

Schreibe einen Kommentar

Hmmmmmm….

Fehler
Bei den Servern der Wikimedia Foundation sind gerade technische Probleme aufgetreten. Bitte versuche es in ein paar Minuten noch einmal.
[…]
Wenn du einem Wikimedia-Systemadministrator diesen Fehler meldest, gib bitte die folgenden Details an.
Request: GET http://de.wikipedia.org/w/index.php?title=****, from **** via ***.wikimedia.org (squid/2.7.STABLE6) to *** (***)

#####################################################################

CERT-Bund — Warn- und Informationsdienst

######################################################################

KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

ID: CB-K09/0235
Titel: Mehrere Schwachstellen in Squid ermoeglichen
DoS-Angriffe
Datum: 28.07.2009
Software: Squid
Version: < 3.0.STABLE17 und < 3.1.0.12
Plattform: Linux, UNIX
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: mittel
Bezug:

######################################################################

Hardware

Eine Webcam ist keine Scheibe

Schreibe einen Kommentar

*Flomp* – Die Schnäppchenfalle hat zugeschlagen – Reichelt macht gerade Ausverkauf mit einer USB Motion-Webcam von Anubis/Typhoon. 180° auf der X- und 60° auf der Y-Achse sorgen mit flüssigen 30FPS bei dem von 52 auf 11EUR reduziertem Modell für einen ordentlichen Überblick. Einen Haken hat dieses Sonderangebot natürlich: Die Auflösung ist mit 640×480 Nativ nicht mehr zeitgemäß, daran kann auch das Interlacing auf 1280×960 sowie der 4x-Digitalzoom nichts ändern. Die Bildqualität ist auch daher nicht mit modernen Kameras zu vergleichen. Bei Innenaufnahmen liegt sie jedoch deutlich vor vielen Onboard- und Billigkameras, kommt Sonnenlicht ins Spiel trüben Schärfeverluste an den Ecken den Eindruck massiv. Um Verrutschen zu vermeiden befindet sich eine Gummischicht unter der Kamera.
18465

Erster Eindruck unter Windows XP
Hauptanwendungsbereich dürfte wohl der private Videochat darstellen – hier punktet die Kamera mit ihrer automatischen Nachführung und dem integriertem Mikrofon. Die Kamera ist dank USB2.0 schnell installiert, das Mikrofon sollte mit seinem separaten 3,5er Klinkenstecker ebenfalls keine Probleme verursachen. Die Windows-Treiber lassen sich mit den üblichen Handgriffen einrichten und verlangen nach einem Neustart – in meinem Falle lief es auch ohne.
Startet man eine Videoanwendung wird automatisch ein weiteres Fenster aus seiner Schlummerposition in der Systray erweckt und bietet manuelle Bewegungsfunktionen – auch lässt sich hier die Automatik und Zoom direkt konfigurieren. Nur einen Klick weiter lassen sich neben Helligkeit, Kontrast, Sättigung, Gamma und den weiteren Standardoptionen auch manuell die Belichtungswerte, Weißabgleich und Flackerunterdrückung einstellen. Ohne Konfiguration stellt sich die Automatik in den meisten Situationen gut ein, bei Außenaufnahmen fiel die Belichtung hier jedoch etwas zu grell aus.
Die automatische Nachführung soll das Gesicht immer im Bildmittelpunkt halten – praktisch für Konferenzen. Stellt man vor der Kamera keine Laufszenen nach trifft die Software auch meistens den Kopf und beißt sich nur selten an anderen Körperteilen fest.

Stolperfalle Bewegung
Die Bewegungsfunktion der Kamera ist zwar praktisch, aber nicht immer optimal: Die Mittelstellung wird erreicht, in dem immer ein kompletter Schwenk gemacht wird, so erkennt die Kamera ihre Grenzen neu und schätzt die Mitte. Bei der manuellen Steuerung ist die X-Achse invertiert, was doch schnell verwirrt. Auch soll es nach Angaben im Netz massive Probleme unter Windows Vista und Windows 7 geben – hier scheint die Software Bewegungsbefehle etwas eigenwillig zu interpretieren. Eine letzte Warnung noch: Vorsicht im Handbuch, hier stößt man auf einige Übersetzungsfehler, also erst denken und nich 1:1 Nachklicken.

Pinguin-Ball
Für mich interessant ist natürlich der Betrieb unter Linux. Die Kamera selbst identifiziert sich als

Product: USB 2.0 PC camera
Manufacturer: SQ Tech CO., LTD.

lsusb führt sie als

ID 2770:930b NHJ, Ltd

Laut Netz steckt dahinter ein sq930x-Chip, leider bestätigt sich diese Angabe nach meinem Kampf mit der Vieldrahttechnik im inneren des Balls. Hierfür existiert zwar ein V4L-Modul, dieses ist jedoch nur auf Keneln <2.6.24 lauffähig. Für neuere ist von einer Integration in gspca die Rede, aber bisher gibt es noch keine Codes dazu.
1846918473

Software

Firefox-Explosion

Schreibe einen Kommentar

Merkzettel: Über 200 Tabs bekommen Firefox nicht – Drückt man aktualisieren lädt er überall die URL des ersten Tabs *kopfkratz*. Tja, da ich Faul bin test ichs nicht mit der Aktuellen und geh direkt dazu über meine Datenbankeinträge sequentiell zu kontrollieren :/