Tagebuchblog 11-02-2013

Heute ist Rosenmontag, allerdings kann ich mit dem ganzen Faschingszeugs so gar nichts anfangen.

Zum Tage

Wie halt die Montage so sind, man schlägt sich so durch.

@Work

Heute morgen wurde erstmal die Bank von den Narren gestürmt, glücklicherweise konnte ich im Büro bleiben und blieb von der Aktion weitgehend verschont. Dann habe ich heute unsere neue HD-Webcam von Axis ausgepackt und mal probeweise in Betrieb genommen. Die fotografiert jetzt alle 15 Minuten mein Büro, ich verrate euch aber den Weblink nicht. ;-)

Twitter

Nach der plötzlichen Nachricht vom Rücktritt des Papstes gab es auf Twitter eigentlich nichts mehr von Rosenmontag und Fasching zu lesen. Aber lustig war es teilweise trotzdem:

Bis einer der vielen Pabst-mit-B-Kommentatoren dann den verzweifelten Aufruf startete:

der auch prompt erhört wurde:

Nebenbei finde ich die Entscheidung von Ratzinger sehr konsequent und hoffentlich auch für zukünftige Inhaber des Amtes wegweisend.

Wetter

Heiter bis wolkig, -7 bis -3 Grad, es liegt hier und dort noch etwas Schnee.

Onlinebanking-Sicherungsverfahren: photoTAN

Vor einiger Zeit schrieb ich eine Artikelreihe zu den verschiedenen Sicherungsverfahren beim Onlinebanking. Hier sind nochmal die Links zu den bisherigen Artikeln:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

Jetzt gibt es ein weiteres Sicherungsverfahren, welches seit kurzer Zeit der 1822direkt und der Commerzbank angeboten wird: die photoTAN.

Funktionsweise

Beim photoTAN Verfahren werden die Transaktionsdaten ähnlich wie beim ChipTAN-Verfahren an ein unabhängiges Gerät übertragen, welchen daraus die einmalig nutzbare und zeitlich begrenzte TAN erzeugt.

Das Verfahren nutzt dazu einen farbigen Barcode, der an einen QR-Code erinnert. Bei jeder Transaktion wird ein solches Code-Bildchen angezeigt. Mittels einer APP, die es für iOS- und Android-Geräte gibt, kann der Kunde den Code abfotografieren. Die APP zeigt die Transaktionsdaten wie Empfänger und Betrag der Überweisung an, die der Kunde mit den eingegebenen Daten vergleichen muss und dann eine TAN erzeugen kann.

Damit die TAN nicht mit beliebigen Geräten erzeugt werden kann, muss der Kunde die APP auf jedem benutzten Gerät mit einem Freischaltcode für seinen Onlinebanking-Zugang aktivieren. Es können also mehrere Geräte mit der APP genutzt werden.

Für Kunden, die kein kompatibles Smartphone besitzen, bietet die Bank ein separates Lesegerät an, welches ebenfalls die APP enthält, um die TAN zu generieren. Das Gerät ist mit ca. 15 Euro etwas teurer als die gängigen ChipTAN-Geräte.

Eine Demo-Version der APP der Commerzbank kann unter http://www.crontosign.com/  ausprobiert werden.

Sicherheit

Die Sicherheit ist aufgrund des unabhängigen Übertragungsweges gegeben. Auch hier ist, wie bei der ChipTAN, ein wichtiges Sicherheitskriterium, dass der Kunde die Transaktionsdaten genau mit den gewünschten Daten vergleicht. Nur so können Manipulationen im Browser erkannt und verhindert werden. Mit der Aktivierung mittels Freischaltcode ist sichergestellt, dass die APP nur TANs für einen bestimmten Onlinezugang erstellen kann. Das Problem dürfte hier wie auch beim SMS-Verfahren die Sicherheit des Smartphones selbst sein. Hier ist die Frage, wie gut die APP vor Manipulation, z.B. bei der Anzeige der Transaktionsdaten geschützt ist.

Einsatzmöglichkeiten und Fazit

Die photoTAN ist praktisch auch im mobilen Einsatz, da das Smartphone ohnehin meist dabei ist. Es stellt eine weitere alternative Möglichkeit dar, sicher und einfach Onlinebanking-Transaktionen zu autorisieren.

Tagebuchblog 09-02-2013

Ich hatte schon ein paar Gläser Rotwein, mal sehen, was noch so zu Stande kommt.

Zum Tage

Gestern hab ich mir irgendwie den Rücken verdreht, das hat auch heute noch ganz schön weh getan. Rotwein scheint dagegen auch zu helfen. :-)

Außerdem stand heute auch die Neuinstallation eines familiären Windowsrechners an. Leider läuft die Datensicherung noch, und da werde ich dann auch erst morgen weiter machen (aus Gründen).

Den Rotwein gab es bei Freunden auf einer Geburtstagsparty, war sehr nett.

Twitter

Ich mag Twitter, auch oder gerade wegen solchen Tweets:

Wetter

Morgens heiter bis wolkig, nachmittags bewölkt und leichter Schneefall, -1 bis 0 Grad.

Blackberry Z10 ab März in Deutschland

Laut der Facebook-Seite von BlackBerry wird das Z10 ab März in Deutschland verfügbar sein.

Bisher sind die Anbieter Vodafone, Mobilcom-Debitel und Amazon bekannt.

Da Z10 ist das erste Smartphone von BlackBerry, das mit dem neuen Betriebssystem BlackBerry 10 ausgestattet ist.

Fehlersuche im VPN

Gestern Abend saß ich mit einem befreundeten Admin zusammen. Er hatte ein Problem mit einem VPN-Gateway eines Kunden und wir wollten uns zusammen auf Fehlersuche machen. Der Server ist ein IPSEC-Gateway auf Linuxbasis und sollte neben einigen reinen IPSEC-Clients noch ein iPhone mittels L2TP anbinden.

Die Einwahl mit dem iPhone funktionierte auch schon, allerdings waren danach die Server im internen Netz des Kunden nicht erreichbar. Die Konstellation bei dieser Konfiguration ist also wie folgt:

iPhone --> Internet --> IPSEC --> L2TP --> PPP Verbindung --> internes Netz

Also jede Menge potenzielle Fehlerquellen. Da die Verbindung an sich aber zu Stande kam, nahmen wir uns die erste Verdächtige vor.

1. Firewall

Nach eingehender Untersuchung konnten wir hier keinen Fehler feststellen. Eine Blick in die Log-Dateien offenbarte auch keine blockierten Pakete. Also weiter.

2. Konfigurationsdateien

In der Konfiguration mit Openswan als IPSEC-Dienst, xl2tpd als L2TP-Dämon und PPP für die Point-to-Point Verbindung gibt es einige Konfigurationsdateien, die es zu testen galt. Wir prüften die Dateien auf Fehler in den Netzwerkkonfigurationen, das sollte sich später noch als nicht ausreichend erweisen. Die Konfiguration der Netzwerkelemente war in Ordnung, die PPP-Verbindung kam mit den richtigen IP-Adressen zu Stande. Der PPP-Dämon baut eine virtuelle Verbindung zwischen zwei IP-Adressen aus dem internen Netz auf und leitet den Verkehr dann an das physische Netzwerkdevice des VPN-Routers weiter. Dadurch ist kein Routing notwendig, um die virtuelle Adresse des iPhones zu erreichen. Das wird später noch wichtig werden.

3. Netzwerkdevices

Eine kurze Untersuchung der Netwerkdevices der virtuellen PPP-Verbindung mit ifconfig ergab, dass das Device zwar Pakete raus schickte, aber keine zurück kamen. Doch die Firewall? Also noch mal zurück zu 1., dann

4. Ratlosigkeit

Es war schon etwas später, wir wollten schon den Einsatz beenden. Dann wollten wir doch noch einen letzten Versuch machen, den Fehler zu finden.

5. Netzpakete untersuchen

Also noch tcpdump angeworfen, um die Pakete zu untersuchen, die beim Aufbau einer Verbindung zum Exchange-Server so übers Netz gehen. Gesagt, getan, das SYN-Paket geht raus, aber keine Antwort des Exchange. Ah, Moment, da ist noch eine ARP-Anfrage, der Exchange möchte wissen, unter welcher MAC-Adresse er die virtuelle IP des iPhones erreichen kann (es ist ja eine interne Adresse). Offensichtlich bekommt er keine Antwort. Ich ahne etwas. In der Options-Datei der PPP-Verbindung für L2TP gibt es den Parameter "proxyarp", der dafür zuständig ist, dass der PPP-Dämon ARP-Anfrage nach der virtuellen IP mit der MAC-Adresse der Netzwerkkarte des Servers beantwortet. Ein Blick in die Konfigurationsdatei zeigt, das der Parameter schlicht fehlt. Bingo. Parameter eingefügt, Verbindung neu gestartet, alles läuft.

Das ganze hat knapp 3 Stunden gedauert und hätte auch etwas schneller gehen können, wenn wir unter 2. bereits die Parameter in der Options-Datei geprüft hätten, und uns nicht nur auf die Netzwerkparameter konzentriert hätten. Das war zwar ärgerlich, aber wir haben für das nächste Mal auch etwas gelernt, ist auch wichtig.


SSH Autorisierung automatisieren

Es kommt öfter vor, dass ich mich auf verschiedenen Linux-Rechnern via SSH anmelden muss. Aus Sicherheitsgründen nutze ich die Autorisierung mittels Keys, gerade, wenn die Anmeldung über das Internet erfolgt.

Bash

Da der private Schlüssel mit einem Passwort gesichert ist, muss man dieses bei jeder Anmeldung eingeben, es sei denn, man automatisiert diesen Vorgang. Die Arbeit übernimmt das Tool ssh-agent.

Der Agent wird zunächst gestartet:

ssh-agent

Unter dem von mir genutzten Kubuntu ist übrigens ein ssh-agent standardmäßig bereits gestartet. Danach fügt man den privaten Schlüssel des aktuellen Benutzers mit

ssh-add

hinzu, sofern dieser unter dem Standartpfaden (~/.ssh/identity, ~/.ssh/id_dsa, ~/.ssh/id_rsa) abgelegt ist. Dabei wird einmalig das Passwort des privaten Schlüssels abgefragt. Danach wir bei jeder SSH-Anmeldung automatisch mit diesem Key autorisiert. Das funktioniert so lange, bis der Agent beendet wird. Die Autorisierung funktioniert auch bei anderen SSH-Tools, wie z.B. beim Dateien kopieren mit scp.

Tagebuchblog 04-02-2013

Kurzer Blog zum Tagesende.

Zum Tage

Heute hat unsere Heizung rumgezickt. Der nette Heizungsmonteur hat fast bis 22 Uhr gebraucht, sie wieder zum Laufen zu bringen, jetzt wird es langsam wieder warm in der Wohnung. :-)

In den Blogs

Hab ich eigentlich schon auf den aktuellen Podcast zur besten Blogengine der Welt hingewiesen? Nein? Dann bitte schön: http://www.s9ycamp.info/archives/20-Ausgabe-18-Rueck-und-Ausblick.html

Robert und Matthias geben eine schöne Zusammenfassung des letzten Jahres mit S9Y und einen Ausblick auf die nächsten Entwicklungen.

Twitter

Gefühlt meine komplette Twitter-Timeline hört Heino. Ich prangere das an.

Wetter

Wolkig und regnerisch, 3-4 Grad.

Tagebuchblog 02-02-2013

Mit ein wenig Verspätung schreibe ich heute noch den Tagebuchblog von gestern.

Zum Tage

Es gibt Tage, die fangen schon nicht gut an. Beim Bäcker gab es heute morgen meine Lieblingsbrötchen nicht mehr, obwohl ich relativ früh dort war. Das kann einem den Tag schon mal vermiesen. ;-) Dann jede Menge Hausarbeit, macht auch nicht so den Spaß. Auf dem Parkplatz vorm Getränkemarkt will ich einen Tweet beantworten. "Batterie ist erschöpft, das Smartphone wird ausgeschaltet." Meehh. Abends wollen wir in unsere Lieblingspizzeria, kein Tisch mehr frei.

Ein Lichtblick war aber gestern, dass uns ein gute Freundin besucht hat So wurde es doch noch ein schöner Nachmittag und, trotz der Panne mit dem Italiener, ein lustiger Abend.

Wetter

Teilweise sonnig, sehr windig, 3-4 Grad.

Twitter gehackt - besser Passwort ändern

Bei Twitter hat es in der letzten Woche einen Einbruch in die Server gegeben. Wie das Unternehmen in seinem Unternehmensblog mitteilt, wurde der Angriff live bemerkt und konnte gestoppt werden. Die bisherigen Ermittlungen ergaben, dass die Daten von ca. 250.000 Konten in die Hände der Einbrecher gelangt sind. Die Täter haben Anmeldenamen, Mailadressen und die verschlüsselten Passwörter erbeuten können.

Die Besitzer der kompromittierten Konten wurden von Twitter per Mail informiert, die Accounts wurden gesperrt und es muss ein neues Passwort vergeben werden.

Twitter weißt in seinem Blog auf darauf hin, ein sicheres Passwort zu verwenden (mindestens 10 Stellen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) und das Passwort für keine anderen Dienste zu verwenden.

Da man nicht sicher sein kann, ob alle betroffenen Accounts erkannt wurden, würde ich allen Twitter-Nutzern empfehlen, das Kennwort zu ändern und auch die Empfehlung zu beherzigen, unterschiedliche Passwörter für die Dienste im Internet zu verwenden.

Die Änderung des Twitter-Passworts ist natürlich mit ordentlich Arbeit verbunden, muss man ja alle Geräte und Anwendungen, die man so in Gebrauch hat, mit dem neuen Kennwort versorgen. Aber, wie sagt man so schön: Sicher ist sicher. Bis später.

(via Caschy)

Zeit - Tagebuchblog 31-01-2013

Leute, was rast die Zeit. Heute ist schon der letzte Tag im Januar 2013. Man hat ja das Gefühl, dass die Zeit immer schneller vergeht. Ich habe mal gelesen, das liegt daran, dass ein Jahr ein immer kleinerer Bruchteil der bisherigen Lebenszeit ist. Also für ein 6 jähriges Kind ist ein Jahr ein 6tel, bei einem 40 jährigen lediglich ein 40tel der Lebenszeit. Somit kommt einem die Zeitabschnitte wohl mit steigendem Alter immer kürzer vor.

Zum Tage

Wichtig ist es doch, dem alltäglichen Trott entgegen zu wirken. Dinge zu genießen, die zu genießen sind. Zeit mit Freunden und Familie verbringen. Ein Freund, den ich heute morgen am Telefon fragte, ob wir uns mittags mal zum Essen treffen wollten, konnte sich die Stunde Mittagspause heute nicht erlauben. Wir sollten uns für solche Dinge mehr Zeit nehmen. Jemanden zu treffen. Im Real-Life.

Natürlich finde ich es schön, das man über soziale Netze mit Freunden einfacher "in Kontakt". Man bekommt auch mal Sachen aus dem Alltag der Bekannten mit, die man ohne Facebook und Co. nicht mitbekommen hätte.

Aber das sollte nicht das persönliche Zusammensein ersetzen oder verdrängen. Wir brauchen auch mal echte Interaktion von Mensch zu Mensch.

In den Blogs

Johnny schreibt auch was zum Thema: Heute

Wetter

Regnerisch, Stürmisch, um die 5 Grad.


tweetbackcheck