linux - net - tech and fun

Zum Inhalt | Zum Menü | Zur Suche

Freitag, April 10 2009

Wenn man vom Teufel spricht...

hackVor kurzem habe ich noch über die Sicherheit von Passwörtern geschrieben und nun bin ich selbst Opfer eines Angriffs geworden. Dummerweise wurde mein Account bei eine großen Oneklick-Hosters gehackt und dessen Passwort geändert. Nun habe ich keinen Zugriff mehr auf das Konto und kann vermutlich den Account nicht weiter benutzen. Da das genutzte Passwort kein komplexes war, scheint es wohl einer Brute Force oder Wörterbuch Attacke zum Opfer gefallen zu sein, denn sämtliche Seiten sind eigentlich per SSL geschützt. Ich kann dies nur als mahnendes Beispiel ansehen, so komplexe Passworte wie Möglich zu verwenden, ganz besonders bei sensiblen Daten. Better luck next time...damn.

Dienstag, März 24 2009

Gute Passwörter

Jeder weiss, je komplexer ein Passwort ist umso schwieriger ist es zu knacken! Aber was macht ein Passwort sicher und was nicht? Darüber will ich im folgenden ein paar Worte verlieren. Viele Menschen benutzen Geburtsdaten als Passwort, das ist schlecht! Auch in Kombination mit einem Wort, denn Geburtsdaten sind so ziemlich die unsichereste Zahlenkombination schlechthin. Beispiel: Das Passwort lautet "peter19071974" also ein Geburtsdatum, der 19.7.1974 und ein Name. Geburtsdaten gibt es genau 365 verschiedene pro Jahr, nutzt man nur ein Datum ohne Jahreszahl wäre das Passwort in maximal 365 Versuchen geknackt, also sehr schnell! Aber selbst wenn wir noch eine Jahreszahl anhängen vergrößert sich die maximale Zahl der Versuche nur minimal. Nehmen wir an, dass kaum ein User vor 1930 geboren sein wird, nutzen wir den Zeitraum von 1930-2009 als Jahreszahlen für unsere "Attacke" macht also 79 Jahre a 356 Tage, also 28835 Versuche. Diese Zahl scheint recht groß, jedoch schaffen moderne Rechner und Passwortcracker theoretisch mehrere Tausend Passworte pro Sekunde, gerade in Zeiten von Multicore & Co. Auch wenn das Passwort relativ lang ist, ist es auf keinen Fall sicher! Namen oder Substantive sind generell für Passwörter nicht zu verwenden, denn hier reicht eine einfache Wörterbuch Attacke um diese Passwörter zu knacken. Hierbei wird ein Wörterbuch oder eine Wortliste verwendet und alle Worter durchprobiert, was im Vergleich zur Brute-Force-Methode (Durchprobieren aller möglichen Kombinationen) viel Zeit einspart und "unsinnige" Kombinationen wie zb. "aaaaaaab" aussen vor lässt. Mit einer Wörterbuch Attacke, kombiniert mit unseren obigen Geburtsdaten lässt sich also relativ schnell ein solches Passwort knacken, denn die Anzahl an Namen ist nunmal auch begrenzt. Sichere Passwörter bestehen aus willkürlichen Kombinationen von Zahlen und Buchstaben (groß und klein) und wenn möglich Sonderzeichen wie +,#,$ usw. Ein gutes und sicheres Passwort sollte mindestens 8 Zeichen besitzen und ungefähr so aussehen: "rH$2yZ7*". Wer sich solche Passwörter nicht merken kann (wer kann das schon? :) ) sollte sich die Passwörter irgendwo sicher aufschreiben, oder sie auf eine Speicherkarte oder einen USB Stick speichern und den gut aufbewahren.

Donnerstag, September 11 2008

Ipod Touch on Ubuntu

Kopie eines Artikels, den ich früher mal geschrieben habe. Da es mittlerweile andere Firmwareversionen gibt, trifft manches vielleicht nicht mehr zu! In der angegebenen Firmwareversion 1.3 funktioniert allerdings alles einwandfrei! UPDATE 17.09.08: Wie ich gelesen habe funktioniert das syncen ab Firmware Version sowieso nicht mehr unter Ubuntu, daher sollte der Artikel auch seine Gültigkeit behalten ;) Because I had various problems getting my iPod Touch to work correctly with my Ubuntu PC, I decided to share all information I gathered with you folks. Here we go: What do I need to get my iPod Touch working with Linux? At first you will have to jailbreak you iPod. Use google for more information on that, there are tons of good howtos on the net, for example: http://rupertgee.wordpress.com/2008/02/08/jailbreak-113-official-gui-2/
1. Issues with Firmware 1.1.3 Until you do the following you wont be able to sync you iPod with a Linux PC if you are using firmware 1.1.3. Because some directories have changed and so on... To be able to sync 1.1.3 iPod with Amarok for example follow these steps. At first
Copy a song to the iPod using iTunes with Mac or PC
Now open an FTP-connection to your iPod by typing in Dolphin i.e. or any other program of your choice:
 sftp://<YourDeviceIP>
If you have configured passwordless access you should be logged in, if not enter "root" as username and "alpine" as your password. Locate
     /var/mobile/Media/com.apple.itunes.lock_sync
and copy the file to
    /var/root/Media
Now DELETE the complete folder
    var/mobile/Media
on the iPod. If you are done close the FTP connection. Connect to your iPod via SSH in the Terminal by typing:
ssh root@<YourDeviceIP>
Create a symbolic link on the iPod by entering
ln -s /var/root/Media /var/mobile/Media
Now disconnect, reboot your iPod and you should be able to sync again. 2. Passwordless Access to your Ipod At first create a new RSA key pair by typing
ssh-keygen -t rsa
Leave the path untouched and DO NOT entern a password. Simply press ENTER. After that a private and a public RSA Key will be found in ~/.ssh Now copy the public key to your ipod device by using the following command:
ssh-copy-id -i ~/.ssh/id_rsa.pub root@<device ip>
Log into the iPod from a terminal by typing
ssh root@<device ip>
You will be still asked for a password. Thats ok! Now we have to edit the sshd_config file on the ipod using the pico editor. But before we do this first set the right permissions to the ssh folder. Otherwise the ssh-deamon will refuse to read the keyfile. Set the following:
chmod 0755 ~ ~/.ssh
chmod 0644 ~/.ssh/*
Now we must change the authentication settings by editing the sshd_config. Open it with
pico /etc/sshd_config
Note: This file is NOT empty! Scroll down until you find #RSAAuthentication. Change the 3 lines to:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile	%h/.ssh/authorized_keys
Save the file pressing CTRL+O and then exit the editor using CTRL+X. Then type
reboot
and we are done! When the ipod is up again try to login via ssh like above. This should work without entering a password now.