The Return of Raspberry Pi – Teil 1

raspberry-pi-logo-212x250

Da lag er nun und verstaubte still vor sich hin – mein Raspberry Pi 1 Model B, den ich mir vor ein paar Jahren zugelegt hatte. Mit seinen 512MB RAM und seiner 700MHz CPU war er von der Leistung her für mich eher enttäuschend. Unlängst las ich ein paar Artikel über die Verwendung des Raspberry Pis als NAS (Network attached storage), und die Programmierung der GPIO-Pins via Python hatte ich auch noch nicht probiert. Also befreite ich meinen Raspberry Pi vom Staub und installierte das Betriebssystem neu:

Die offizielle Version von Raspbian Jessie, basierend auf Debian Jessie, ist hier zu finden:

Raspbian

Das Image kann unter Linux leicht auf eine Flashcard geschrieben werden:

$ sudo dd bs=4M if=2016-05-27-raspbian-jessie-lite.img of=/dev/sdb
$ sudo pkill -USR1 -n -x dd

Mein Linux-Laptop besitzt glücklicherweise einen Slot für Flashcards, in meinem Fall war die Karte unter /dev/sdb zu finden (Tip: $ df -h). Das Kopieren dauert eine Weile, der aktuelle Status kann mittels pkill abgefragt werden. Die nächsten Schritte waren Standardschritte: Anstecken von Flashcard, Composite Video (via SCART-Buchse am TV-Gerät), USB Keyboard, Ethernetkabel, USB Maus und Stromversorgung. Achtung: Raspberry Pi 1 B hat lediglich 2 USB Ports und reagiert mit Fehlermeldungen auf USB-Hubs. Nach der automatischen Installation folgten weitere Linux-Standardschritte (Aktualisieren der Pakete via apt-get und setzen der Paßwörter). Um remote auf meinen Raspberry Pi zugreifen zu können, installierte ich noch tightvncserver. Hier ist die Belohnung meiner Mühe (via vncviewer):

rasp_vnc

Nach der Installation benötigte ich Keyboard, Maus und Composite Video nicht mehr – Raspberry Pi startet nach Anstecken des Netzgerätes automatisch, für den Zugriff von meinem Laptop aus verwende ich SSH bzw VNC.

Best RSA ever

Bei dem Capture The Flag Wettbewerb „IceCTF 2016“ war ein RSA-„verschlüsselter“ Text zu knacken. Hier ist die amüsante Aufgabe:

N=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

e=0x1

c=0x4963654354467b66616c6c735f61706172745f736f5f656173696c795f616e645f7265617373656d626c65645f736f5f63727564656c797d

Der RSA-Verschlüsselungsalgorithmus ist c=m^e mod n, wobei n und e den öffentlichen Schlüssel bilden. Da e in dieser Aufgabe 1 und n>m ist, ist c=m und somit der verschlüsselte Text identisch mit dem unverschlüsselten. Wenn man c umwandelt (hex>text), erhält man die gesuchte Flag:

„IceCTF{falls_apart_so_easily_and_reassembled_so_crudely}“

To code or not to code…

nocamping

Immer wieder jammern die Medien über Mangel an IT-Fachkräften bzw.  Programmierern. Passend zu diesen Meldungen gibt es ein unüberschaubares, stetig wachsendes Angebot an IT-Schulungen mit klingenden Namen – egal ob Coding Apps, Codecamps, Code Academies oder Coding Workshops – alle diese Angebote locken mit dem Versprechen, nach dem Absolvieren eines „Schnellsiedekurses“ große Jobchancen als Developer zu haben. Doch die Wirklichkeit sieht anders aus.

„To code or not to code…“ weiterlesen

Pokemon Go – oder eher NoGo? Teil 2

Immer mehr Unternehmen nutzen den Pokemon Go -Hype für sich: So locken Gastronomiebetriebe gezielt virtuelle Monster und somit Kunden an. Weiters überschlagen sich die Angebote für Pokemon Go kompatible Smartphones und Powerbanks (das Spiel ist ein ziemlicher Ressourcenfresser). Eine österreichische Tageszeitung verlost täglich „Pokemon Go Handys“. Man muß „nur“ seine Daten bekanntgeben und, falls die eigene Handynummer am Folgetag in der Zeitung abgedruckt ist, eine Servicenummer der Zeitung bis zu einer bestimmten Uhrzeit anrufen. So sichert sich diese Blatt seine Leserschaft. Doch dem ist nicht genug – ein Blick in die AGBs des Gewinnspieles wird zum Albtraum jedes Datenschützers: Der Teilnehmer erklärt sich bereit, daß seine Daten für „Marketingzwecke aller Art“ weiterverwendet und weitergegeben werden – also frei interpretiert „weiterverkauft“. Das ist nun nichts Neues bei solchen Gewinnspielen. Der Gipfel ist jedoch, daß der Teilnehmer zustimmt, daß sein Name und Bild im Rahmen von redaktionellen Inhalten weiterverwendet werden können. Was das konkret bedeutet, kann sich wohl jeder selbst vorstellen…

Pokemon Go – oder eher NoGo?

Der Hype rund um Pokemon Go ist nicht zu bremsen, und die Fans lassen sich offenbar von den vielen Mängeln nicht abschrecken, um mit einer – höflich ausgedrückt – holprigen App Cartoonmännchen hinterherzujagen. So gibt es Serverausfälle (die Medien munkeln schon von DDOS Attacken) und  einige Punkte, die sicherheitstechnisch bedenklich sind (Stichwort uneingeschränkte Freigabe von Google Accounts an den Hersteller). Die App stürzt auf meinem iPad2 regelmässig ab und kann nur gestartet werden, wenn der Flugmodus aktiviert ist, was laut Foren kein Einzelfall ist.

In diesem Sinn empfehle ich die klassische „Offline-Version“:

pok

Sicherheitslücke bei WLAN-Modem

Wie „Der Standard“ am 06.07.2016 berichtete, gelang es einem tschechischen IT-Security Team, Default Passwörter einer  gängigen WLAN-Modem-Serie ausgehend von den SSIDs mit einem selbst entwickelten Tool zu berechnen. Das Tool wurde als App und Webservice als „Proof of Concept“ veröffentlicht.

Grundlage dafür war die disassemblierte Firmware aus einem gerooteten Modem. Da die SSIDs mit den MAC-Adressen korrelierten und die MAC-Addressen als einziger Parameter von der Firmware zu Berechnung der Defaultpasswörter verwendet wurden, hatte das Team nach der Analyse der Firmware leichtes Spiel.

Falls ein User sein Passwort vergisst, kann der Support dieses Modem ausgehend von der MAC/SSID leicht auf die Werkseinstellungen zurücksetzen. Nach Bekanntwerden des Algorithmus ist dies natürlich sicherheitstechnisch hoch bedenklich. Nicht minder bedenklich ist die Veröffentlichung des Tools durch das tschechische Team, was jede Menge „Script-Kiddies“ anziehen wird.

Fazit: Am besten immer sofort Defaultpasswörter umändern, oder -wie in meinem Fall – WLANs meiden.

Locky Virus

Derzeit ist der Trojaner „Locky“ im Umlauf – es handelt sich um Ransomware: Die Verbreitung erfolgt via Spam-Mails mit docm-Attachments. Diese Word-Attachments enthalten Schadcode. Daten auf infizierten  PCs werden vom Virus verschlüsselt, und der Benutzer wird aufgefordert, ein Lösegeld in Form von Bitcoins zu überweisen. Ich erhielt ebenfalls ein solches Spam Mail und habe das Attachment analysiert.

„Locky Virus“ weiterlesen