Archiv der Kategorie: IT-Security

Betreiben eines privaten sozialen Netzwerks mit Raspberry Pi

Schritt-für-Schritt-Anweisungen zur Erstellung Ihres eigenen sozialen Netzwerks mit kostengünstiger Hardware und einfacher Einrichtung

Soziale Netzwerke haben das Leben der Menschen in den letzten Jahren revolutioniert. Die Menschen nutzen jeden Tag soziale Kanäle, um mit Freunden und Familie in Verbindung zu bleiben. Eine häufige Frage bleibt jedoch hinsichtlich der Privatsphäre und der Datensicherheit. Selbst wenn soziale Netzwerke komplexe Datenschutzrichtlinien zum Schutz der Benutzer erstellt haben, ist die Pflege Ihrer Daten auf Ihrem eigenen Server immer die beste Option, wenn Sie sie nicht der Öffentlichkeit zugänglich machen wollen.

Auch hier kann eine Raspberry Pi-Raspbian Lite-Version sehr vielseitig sein und Ihnen helfen, eine Reihe nützlicher Dienste für zu Hause einzurichten . Einige süchtig machende Eigenschaften können durch die Suche nach Open-Source-Software und das Testen mit diesem fantastischen Gerät erreicht werden. Ein interessantes Beispiel zum Ausprobieren ist die Installation von OpenSource Social Network in Ihrem Raspberry Pi.

Was ist ein soziales OpenSource-Netzwerk?

OpenSource Social Network (OSSN) ist eine sich schnell entwickelnde, in PHP geschriebene Software für soziale Netzwerke, die es Ihnen im Wesentlichen ermöglicht, eine Website für soziale Netzwerke zu erstellen. OSSN kann zur Erstellung verschiedener Arten von Social Apps verwendet werden, wie z.B:

Private Intranets
Öffentliche/offene Netzwerke
Gemeinschaft

OSSN unterstützt Funktionen wie:

Fotos
Profil
Freunde
Smileys
Suche
Chat

OSSN läuft auf einem LAMP-Server. Es hat sehr geringe Hardware-Anforderungen, aber eine erstaunliche Benutzeroberfläche, die auch mobilfreundlich ist.
Was wir brauchen

Dieses Projekt ist sehr einfach, und da wir nur Remote-Webdienste installieren, benötigen wir nur ein paar billige Teile. Ich werde ein Raspberry Pi 3 Modell B+ verwenden, aber es sollte auch mit Raspberry Pi 3 Modell A+ oder neueren Boards funktionieren.

Die Hardware:

Raspberry Pi 3 Modell B+ mit seinem Netzteil
eine Micro-SD-Karte (besser, wenn es sich um eine leistungsstarke Karte handelt, mindestens 16 GB)
einen Desktop-PC mit einer SFTP-Software (z.B. dem kostenlosen Filezilla), um Installationspakete in Ihr RPI zu übertragen.

Schritt-für-Schritt-Verfahren

Wir beginnen mit der Einrichtung eines klassischen LAMP-Servers. Dann richten wir Datenbankbenutzer ein und installieren das OpenSource Social Network.
1. Installieren Sie Raspbian Buster Lite OS

Stellen Sie sicher, dass Ihr System auf dem neuesten Stand ist. Stellen Sie eine Verbindung über ein ssh-Terminal her und geben Sie folgende Befehle ein:

sudo apt-get update
sudo apt-get upgrade

2. LAMP-Server installieren

LAMP (Linux-Apache-Mysql-Php)-Server werden normalerweise mit der MySQL-Datenbank geliefert. In unserem Projekt werden wir stattdessen MariaDB verwenden, weil es leichter ist und mit Raspberry Pi funktioniert.
3. Installieren Sie den Apache-Server:

sudo apt-get install apache2 -y

Sie sollten nun in der Lage sein, zu überprüfen, ob die Apache-Installation korrekt verlaufen ist, indem Sie http://<<YouRpiIPAddress>> aufrufen:

4. PHP installieren:

sudo apt-get installieren php -y

5. Installieren Sie den MariaDB-Server und den PHP-Connector:

sudo apt-get install mariadb-server php-mysql -y

6. Installieren Sie PhpMyAdmin:

PhpMyAdmin ist im OpenSource Social Network nicht zwingend erforderlich, aber ich schlage vor, dass Sie es installieren, da es die Datenbankverwaltung vereinfacht.

sudo apt-get install phpmyadmin

Führen Sie im Einrichtungsbildschirm von phpMyAdmin die folgenden Schritte durch:

Wählen Sie Apache (obligatorisch) mit Leerzeichen aus und drücken Sie OK.
Wählen Sie Ja, um die Datenbank für phpMyAdmin mit dbconfig-common zu konfigurieren.
Geben Sie Ihr bevorzugtes phpMyAdmin-Passwort ein und drücken Sie OK.
Geben Sie Ihr phpMyAdmin-Passwort zur Bestätigung erneut ein und drücken Sie OK.

7. Gewähren Sie phpMyAdmin-Benutzer-DB-Privilegien zur Verwaltung von DBs:

Wir verbinden uns mit MariaDB mit dem Benutzer root (das Standardpasswort ist leer), um Berechtigungen zu erteilen. Denken Sie daran, Semikolons am Ende jeder Befehlszeile zu verwenden, wie unten gezeigt:

sudo mysql -uroot -p
grant all privileges on *.* to 'phpmyadmin'@'localhost';

flush privileges; quit

8. Starten Sie schließlich den Apache-Dienst neu:

sudo systemctl restart apache2.service

Und überprüfen Sie, ob phpMyAdmin funktioniert, indem Sie http://<<YouRpiIPAddress>>/phpmyadmin/ eingeben.

Die Standard-Anmeldedaten für phpMyAdmin sind:

Benutzer: phpmyadmin
Passwort: dasjenige, das Sie im Installationsschritt von phpMyAdmin eingerichtet haben

Installation anderer für das soziale Netzwerk erforderlicher Open-Source-Pakete und Einrichtung von PHP

Wir müssen unser System für den ersten Einrichtungsassistenten von OpenSource Social Network vorbereiten. Benötigte Pakete sind:

PHP Version 5.6, 7.0, 7.1
MYSQL 5 ODER >
APACHE
MOD_REWRITE
Die PHP-Erweiterungen cURL & Mcrypt sollten aktiviert werden
PHP GD-Erweiterung
PHP-ZIP-Erweiterung
PHP-Einstellungen allow_url_fopen aktiviert
PHP JSON-Unterstützung
PHP XML-Unterstützung
PHP OpenSSL

Wir werden sie also mit folgenden Terminal-Befehlen installieren:

sudo apt-get install php7.3-curl php7.3-gd php7.3-zip php7.3-json php7.3-xml

1. Aktivieren von MOD_REWRITE:

sudo a2enmod rewrite
2. Bearbeiten Sie die Standard-Apache-Konfiguration, um mod_rewrite zu verwenden:

sudo nano /etc/apache2/sites-available/000-default.conf3.
Fügen Sie den Abschnitt so hinzu, dass Ihre Datei "000-default.conf" wie folgt aussieht (ohne Kommentare):

<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# SECTION TO ADD ——————————–
<Directory /var/www/html>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Require all granted
</Directory>
# END SECTION TO ADD ——————————–
</VirtualHost>
4. Installation von  Mcrypt:
sudo apt install php-dev libmcrypt-dev php-pear
sudo pecl channel-update pecl.php.net
sudo pecl install mcrypt-1.0
5. Aktivieren Sie das Mcrypt-Modul, indem Sie „extension=mcrypt.so“ in „/etc/php/7.3/apache2/php.ini“ hinzufügen (oder auskommentieren):
sudo nano /etc/php/7.3/apache2/php.ini
allow_url_fopen sollte bereits in „/etc/php/7.3/apache2/php.ini“ aktiviert sein. OpenSSL sollte bereits in „php7.3“ installiert sein.

6. Eine weitere Einstellung, die ich vorschlage, ist die Bearbeitung der maximalen PHP-Upload-Dateigröße von bis zu 16 MB:

sudo nano /etc/php/7.3/apache2/php.ini
7. Suchen Sie nach der Zeile mit dem Parameter upload_max_filesize und setzen Sie sie wie folgt:
upload_max_filesize = 16M
8. Speichern und  exit. Restart Apache:
sudo systemctl restart apache2.service

Installieren von  OSSN

1. DB erstellen und Benutzer einrichten:

Gehen Sie zurück zur phpmyadmin-Webseite (durchsuchen Sie „http://<<IhreRpiIPAdresse>>/phpmyadmin/“) und melden Sie sich an:

User: phpmyadmin

Passwort: dasjenige, das im Installationsschritt von phpmyadmin eingerichtet wurde

Clicken sie auf database tab:

Erstellen Sie eine Datenbank und notieren Sie sich den Datenbanknamen, da Sie ihn später bei der Installation eingeben müssen.

Es ist an der Zeit, einen Datenbankbenutzer für OSSN anzulegen. In diesem Beispiel werde ich die folgenden Anmeldedaten verwenden:

User: ossn_db_user

Password: ossn_db_password

Also, Terminal-Befehle werden (das root-Passwort ist immer noch leer, wenn es nicht vorher von Ihnen geändert wurde):

sudo mysql -uroot -p
CREATE USER ‚ossn_db_user‘@‚localhost‘ IDENTIFIED BY ‚ossn_db_password‘;
GRANT ALL PRIVILEGES ON ossn_db.* TO ‚ossn_db_user‘@‚localhost‘;
flush privileges;
quit

2. OSSN-Software installieren:

Laden Sie die OSSN-Installationszip-Datei von der OSSN-Download-Seite auf Ihren lokalen PC herunter. Zum Zeitpunkt der Erstellung dieses Artikels heißt diese Datei „ossn-v5.2-1577836800.zip“.

Übertragen Sie mit Ihrer bevorzugten SFTP-Software die gesamte Zip-Datei per SFTP in einen neuen Ordner im Pfad „/home/pi/download“ auf Ihrer Raspberry Pi. Übliche (Standard-)SFP-Verbindungsparameter sind:Host: Ihre IP-Adresse von Raspberry Pi

Benutzer: pi
Passwort: raspberry (wenn Sie das Pi-Standard-Passwort nicht geändert haben)
Port: 22

Zurück zum terminal:

cd /home/pi/download/
#Geben Sie das Verzeichnis an, in das die OSSN-Installationsdateien übertragen wurden
unzip ossn-v5.2-1577836800.zip
#Extracts all files from zip
cd /var/www/html/
#Enter Apache web directory
sudo rm index.html
#Removes Apache default page – we’ll use OSSN one
sudo cp -R /home/pi/download/ossn-v5.2-1577836800/* ./
#Copy installation der Dateien zum web directory
sudo chown -R www-data:www-data ./
Erstellen Sie einen Datenordner:OSSN erfordert einen Ordner zur Speicherung von Daten. OSSN schlägt aus Sicherheitsgründen vor, diesen Ordner außerhalb des Stammverzeichnisses des veröffentlichten Dokuments anzulegen. Wir werden also diesen Opt-in-Ordner erstellen und Berechtigungen vergeben:
sudo mkdir /opt/ossn_data
sudo chown -R www-data:www-data /opt/ossn_data/
Browse http://<<YourRpiIPAddress>> zum starten des installation wizard:

Alle Kontrollen sollten in Ordnung sein. Klicken Sie auf die Schaltfläche Weiter am Ende der Seite.

Lesen Sie die Lizenzvalidierung und klicken Sie zum Akzeptieren auf die Schaltfläche Weiter am Ende der Seite.

Geben Sie den Datenbankbenutzer, das Kennwort und den von Ihnen gewählten DB-Namen ein. Denken Sie auch daran, den OSSN-Datenordner einzugeben. Drücken Sie Installieren.

Geben Sie Ihre Admin-Kontodaten ein und drücken Sie die Schaltfläche Erstellen.

Jetzt sollte alles in Ordnung sein. Drücken Sie auf Fertig stellen, um auf das Verwaltungs-Dashboard zuzugreifen.

So kann das Administrationspanel mit der URL „http://<<IhreRpiIPAdresse>>/Administrator“ erreicht werden, während der Benutzer-Link „http://<<IhreRpiIPAdresse>>“ lautet.

This article was originally published at peppe8o.com. Reposted with permission.

Sichere Datenübertragung mit Onionshare

OnionShare ist ein freies Programm, um Dateien sicher und anonym über Onion-Dienste des Tor-Netzwerks zu senden und zu empfangen. Es wird seit 2014 von Micah Lee entwickelt und unter der GPLv3 der Allgemeinheit zur Verfügung gestellt.

Mittlerweile ist jetzt Version 2.0 erschienen.

Die neue Version enthält zahlreiche Neuerungen, von denen anonyme Dropboxen eine der bedeutendsten sind. In diesem Modus wird die Tor-Adresse des Programms publiziert, so dass alle Nutzer anonym Dateien auf dem empfangenden Rechner ablegen können. Eine Neuerung unter macOS ist, dass eine Sandbox genutzt wird. Ferner nutzt die neue Ausgabe von OnionShare standardmäßig die neuen Tor-Adressen (V3), das heißt Adressen für die neue Generation der Tor-Onion-Dienste. Sie sind wesentlich sicherer als V2-Adressen, man kann man aber zu den älteren Adressen zurückkehren, wenn nötig.

Darüber hinaus erfuhr die Software zahlreiche weitere Verbesserungen und Korrekturen. Wenn nur eine einzelne Datei heruntergeladen wird, wird sie nicht mehr in ein ZIP-Archiv gepackt. Sie wird aber trotzdem noch via HTTP-Option komprimiert, um die Übertragungszeit zu minimieren. Die Zahl der Übersetzungen wurde stark erhöht und es ist nun möglich, die Sprache über eine Auswahlbox zu wählen.

Zudem wurde das Programm intern umfassend umgebaut und automatische Tests wurden hinzugefügt.

https://www.pro-linux.de/images/NB3/imgdb/onionshare-20-im-empfangsmodus.jpg

https://www.pro-linux.de/images/NB3/imgdb/onionshare-20-im-share-modus.jpg

https://www.pro-linux.de/images/NB3/imgdb/zugriff-auf-onionshare-20-%C3%BCber-den-tor-browser.jpg

OnionShare startet einen Webserver und macht ihn über eine Tor-Adresse zugänglich, die nicht erraten werden kann. Man kann diese Adresse den Personen mitteilen, die Zugriff haben sollen. Diese können dann über den Tor-Browser Dateien austauschen. Es gibt keine Benutzerverwaltung und keine Logins. Der wesentliche Punkt von OnionShare ist, dass die Dateien auf den Rechnern der Benutzer liegen und nicht an Unternehmen oder andere Dienstleister herausgegeben werden.

Man kann natürlich mit Onionshare nicht nur Dateien bereitstellen sondern auch empfangen.

Somit ist die Installation des Tor-Browsern nicht zwingend notwendig

OnionShare 2.0 steht zum freien Download auf onionshare.org zur Verfügung. Neben dem Quellcode gibt es Binärpakete für Ubuntu, Fedora, macOS und Windows.

Das Programm erhält durchgehend posititive Bewertungen wie man auf der Webseite lesen kann

Malware Angriffswelle auf mittelständische Unternehmen

Es handelt sich um Emotet. Emotet ist ursprünglich ein Banking Trojaner, der es auf Bank Accounts und TANs deutscher, schweizerischer und österreichischer Banken abgesehen hat. Inzwischen kann er aber auch Email- und andere Accounts abgreifen.Es ist wichtig zu wissen, dass es aktuelle Varianten gibt, die versuchen sich selbst zu verbreiten, ähnlich aktueller Ransomware.

Emotet wird über Email Verteilt, i.d.R. handelt es sich um gefälschte Rechnungsanschreiben, die mehr oder weniger gut gemacht sind. Die Benutzer müssen aktiv handeln ( Datei über Link herunterladen und öffnen), um sich zu infizieren.

Folgendes sind die Merkmale der Malware:

  • Die Email ist i.d.R. von einem „Kollegen“ oder einem „Kunden“
  • Der Link ist von obscuren Domains: z.B. dragas.it oder ciarapoint.com
  • Es wird immer ein .doc File heruntergeladen. Der Name der Datei ändert sich regelmässig, in größeren Abständen auch der Inhalt.

Was macht die Malware:

  • Das Word-File enthält ein VB-Macro, das verschleiertes ist, welches wiederum einen verschleierten Powershell Befehl Absetzt, der die eigentliche Malware herunterlädt und ausführt.
  • Die Malware meldet sich bei einem C&C Server über 443 in Klartext
  • Die Malware versucht Account Daten von dem lokalen PC zu stehlen, kann auch HTTPS Verkehr inspizieren.
  • Die Account Daten werden dann an einen C&C Server gesendet.
  • Desweiteren gibt es Varianten, die versuchen an lokale Admin-Accounts zu kommen, um diese zu nutzen anderen Computer über die Admin Freigabe zu infizieren.
  • Ein solch neu infizierter PC meldet sich beim C&C Server über Port 7080
  • Folgende Ports werden genutzt
    • TCP 80, 443, 8080, 7080

Folgendes können Sie tun:

  • Informieren Sie Benutzer. Awareness ist hier eine starke Waffe. Der Benutzer muss aktiv eine Datei mit obscurem Namen: Rechnun-scanXXX.doc herunterladen. Der Bnutzer muss die Datei öffnen und Macros ausführen.
  • Sophos Intercept X und Exploit Prevention erkenne die Attacke
  • Powershell darf nur signierte cmdlets ausführen
  • Sonicwall Capture erkennt die Malware – auch  neue Varianten
  • Netzwerksegmentierung mit Sonicwall Next-Gen Firewalls verhindert die Verbreitung der Malware im Netzwerk

Hinweis in eigener Sache

Viele werden sich fragen warum diese Seite nicht komplett SSL verschlüsselt ist.

Das hat den Grund weil sie sich leider nicht auf meiner Hauptdomain befindet und mein Hoster „Strato“ SSL für Subdomains leider nicht unterstützt.

Das würde 5 Euro pro Monat mehr kosten und das bin ich zurzeit nicht bereit zu zahlen

Für ein Zertifikat das man mit Lets encrypt auch umsonst bekommen könnte sehe ich das nicht ein

Richtig….Lets encrypt wird leider von Strato auch nicht unterstützt und so bin ich zurzeit auf der Suche nach einem anderen Hoster der bessere Bedingungen bietet.

Wichtiger Meilenstein für Let`s encrypt

Der kostenlose Dienst von Let`s encrypt hat einen weiteren wichtigen Meilenstein erreicht.

Gängige Betriebssysteme und Browser stufen von Let’s Encrypt ausgestellte Zertifikaten nun ohne Umwege als vertrauenswürdig ein.

Neben Apple, Blackberry, Google, Mozilla und Oracle vertraut nun auch Microsoft dem Root-Zertifikat ISRG Root X1 der CA.

Let`s encrypt wurde vor Jahren von der Electronic Frontier Foundation (EFF) und Mozilla ins Leben gerufen, um die Verschlüsselung im Web voranzutreiben

Kostenloser Online-Kurs des BSI zur IT-Sicherheit

Zurzeit bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik) einen kostenlosen Onlinekurs zur IT-Sicherheit an.

Wer den Kurs offline durcharbeiten und/oder ausdrucken will kann auch auf eine PDF-Version zugreifen

Darüber hinaus gibt es auch einen Onlinekurs zum Notfallmanagement. Unter dem Link findet man ebenfalle eine PDF-Version

Diese Initiative ist grundsätzlich zu begrüßen um die IT-Sicherheit (mal wieder) etwas mehr in den Scope der Verantwortlichen in Firmen und Unternehmen zu rücken