Permalink

macOS Tipp: passwortgeschütztes (verschlüsseltes) Disk-Image erstellen

Man bekommt ja heutzutage vermehrt seine Post elektronisch zugestellt; sei es nun per E-Mail oder per Download über den Webbrowser. Dazu zählen beispielsweise Rechnungen oder Verträge aller Art, Steuerunterlagen, Einzelverbindungsnachweise, Kontoauszüge u.v.m… Also alles Informationen, die mehr oder weniger sensible Daten enthalten und dementsprechend aufbewahrt werden sollten.

Nun kann man natürlich Apps wie VeraCrypt, Hider oder Knox (wurde vom 1Password Entwickler AgileBits Ende 2016 vorerst abgekündigt) nutzen, um diese Daten sicher auf der lokalen Festplatte zu verschlüsseln. Warum aber 3rd-Party-Apps nutzen, wenn es in macOS verschlüsselte Disk-Images gibt, die im Grunde genommen genau den gleichen Zweck verfolgen?!

Bildschirmfoto 2017-01-09 um 17.15.38

Passwortgeschützte bzw. verschlüsselte Disk-Images erstellt man mit dem Festplattendienstprogramm, das unter /Programme/Dienstprogramme/ zu finden ist.

Im Menü wählt man daraufhin unter Ablage > Neues Image, je nach Vorhaben, die Option Leeres Image oder Image von Ordner aus. Im neu eingeblendeten Fenster gibt man dem Disk-Image einen Namen, optionale Tags und legt den Speicherort sowie das Format und die Partitionstabelle fest.

Bildschirmfoto 2017-01-09 um 17.09.24-minishadow

Beim Image-Format sollte man zudem darauf achten, dass Mitwachsendes Image ausgewählt ist. Das hat den Vorteil, dass das Disk-Image anstatt einer vorgegebenen Größe nur soviel Platz belegt, wie tatsächlich benötigt wird.

Darüber hinaus gibt es noch das Mitwachsende Bundle-Image. Dieses wurde mit Mac OS X 10.5 Leopard eingeführt und zerlegt das Image in kleinere Dateien. Das hat gegenüber eines einzelnen großen Images den Vorteil, dass bei einer inkrementellen Datensicherung (z. B. mit Time Machine) nur die geänderten Teile des Images, anstatt die große Einzeldatei, gesichert werden.

Der entscheidende Punkt ist aber die Verschlüsselung des Images. Hier hat man die Wahl zwischen 128- und 256-Bit-AES-Verschlüsselung, die mit einem hinreichend guten Passwort abgesichert werden sollte.

Bildschirmfoto 2017-01-09 um 17.09.51-minishadow

Klickt man jetzt auf das erstellte Image, wird zunächst das Passwort abgefragt und anschließend das Image ins System eingebunden. Jetzt kann man schützenswerte Dokumente ins Image verschieben, die mit dem Auswerfen des Images sicher abgelegt sind.

Abschließend vielleicht noch ein Tipp: das Passwort nicht im Schlüsselbund sichern, sondern im Kopf aufbewahren 🎓

Permalink

E-Mail Verschlüsselung: GPGMail für macOS 10.12 Sierra (Beta 1)

Zum Thema E-Mail Verschlüsselung und -Signierung hatte ich mich schon vor etwas mehr als zwei Jahren ausführlicher geäußert.

Mit macOS 10.12 Sierra hat sich bei der Nutzung von S/MIME und der damit zusammenhängenden Erstellung des Zertifikats quasi nichts geändert.

Möchte man dahingegen das konkurrierende OpenPGP Protokoll nutzen, hatte man unter Sierra bis vor ein paar Tagen leider schlechte Karte. Nun ist aber die erste Beta der GPGSuite erschienen, die das für Apple Mail notwendige GPGMail Plugin enthält.

…after a painful and long waiting time, extensive reverse engineering and re-writing of major parts of our codebase, we are very happy to share the first beta of GPGMail for macOS Sierra with you.

Wie immer bei einer Beta: die Nutzung erfolgt auf eigene Gefahr. Bekannte und bei bisherigen Nutzern auftretende Probleme sind im GPGTools Forum dokumentiert.

-> https://gpgtools.tenderapp.com/discussions/problems/macosx-sierra
-> https://releases.gpgtools.org/GPG_Suite-2016.12b1.dmg (Direktdownload)

Permalink

macOS Boot-Prozess: Firmware Passwort setzen

Der Startvorgang beim Mac war bisher durch einen physikalischen Angreifer kompromittierbar. Nach dem Update auf macOS Sierra 10.12.2 werden standardmäßig keine Option ROMs mehr geladen, die sich auf angeschlossenen Thunderbolt / PCIe Geräten befinden. Um in jedem Fall sicherzugehen, sollte man ein Firmware-Paßwort setzen.

Das geht am schnellsten per Terminal mit

sudo firmwarepasswd -setpasswd -setmode command

gefolgt von einem Neustart.

(DEF CON 24 – Ulf Frisk – Direct Memory Attack the Kernel)

Permalink

Howto: Zwei-Schritt-Verifizierung von Amazon in 1Password speichern

Zum Thema Zwei-Faktor-Authentifizierung (2FA) im Zusammenhang mit 1Password hatte ich mich vor knapp 1½ Jahren schon mal ausführlicher geäußert.

Da Amazon dieses Feature nun endlich auch allen Kunden in Deutschland zur Verbesserung der Sicherheit zur Verfügung stellt, ist dieses Thema gerade wieder mehr als aktuell.

Zur Aktivierung der 2FA muss man sich in sein Amazon-Konto einloggen und unter Mein Konto > Einstellungen > Kontoeinstellungen > Anmelde- und Sicherheitseinstellungen > Erweiterte Sicherheitseinstellungen die Zwei-Schritt-Verifizierung auswählen.

Bildschirmfoto 2016-12-05 um 13.37.27

Zur Generierung der Codes bietet Amazon eine SMS aufs Telefon oder die altbekannte Methode per Authentifizierungs-App an (um die es nachfolgend gehen soll).

Da ich nach wie vor kein großer Fan des Google Authenticators bin, nutze ich zum Generieren dieser sechsstelligen Einmal-Codes den Passwort-Manager 1Password.

Schritt 1:
Bei einem leeren Feld wählt man rechts über das Auswahlmenü Einmal-Passwort aus.

Bildschirmfoto 2016-12-05 um 13.05.61-minishadow

Schritt 2:
Anschließend erscheint ein kleines QR-Code-Symbol, das auf Klick den 1Password-Codescanner zum Vorschein bringt.

Dieses transparente Fenster verschiebt man nun über den QR-Code, der von Amazon bei Auswahl der Methode Authentifizierungs-App angezeigt wird.

Danach das Ganze mit der Enter-Taste bestätigen und fertig.

Bildschirmfoto 2016-12-05 um 13.05.62-minishadow

Hinweis:
Auch wenn ich hier in den Screenshots die Vorgehensweise für die macOS-Version von 1Password vorgestellt habe, funktioniert diese mit den mobilen Version für iOS und Android quasi identisch.

1Password
Entwickler: AgileBits Inc.
Preis: 64,99 €
1Password
Entwickler: AgileBits Inc.
Preis: Kostenlos+
1Password - Passwort-Manager
Entwickler: AgileBits
Preis: Kostenlos+

(inspired by)

Permalink

Cookie 5 · Cookie-Manager lädt zum Betatest ein

Bei Cookie handelt sich um eine App, die sich in gewissen Zeitabständen, beim Schließen des Browsers oder beim Anmelden eines Nutzers unter OS X automatisch um diese kleinen, fiesen Spionageschnipsel namens Cookies kümmert.

Neben ‘normalen’ Cookies können auch Tracking Cookies, Flash Cookies, Datenbanken (u.a. Silverlight) sowie der Browser Cache, die Browser History, Favicons, Webseiten Previews oder die Download-History automatisiert gelöscht werden. An Browsern werden der Safari, Chrome, Firefox, Chromium, Opera und Camino unterstützt. Ein kleines Review zu einer älteren Version von Cookie ist hier zu finden.

Bildschirmfoto 2015-12-08 um 15.10.14-minishadow

Um die Entwicklung der fünften Version des Cookie-Managers voranzutreiben, lädt Russell Gray, der Entwickler der App, seit ein paar Tagen zur offenen Beta ein. Eine Anmeldung oder dergleichen ist nicht notwendig. Einfach die App herunterladen und loslegen; Bestandskunden sollten ggf. darauf achten, dass bereits vorhandene Versionen von Cookie beim Installieren der Beta überschrieben werden. Daher ist ein vorheriges Backup empfehlenswert.

Was ist neu?

Neben einer neu gestalteten Oberfläche sowie etlichen Verbesserungen unter der Haube ist Cookie nun ‘sandboxed’ und setzt OS X El Capitan zur Installation voraus.  Dazu wurde die Art und Weise Cookies zu favorisieren verändert, was die vormals verwendete Blacklist überflüssig macht.

Bildschirmfoto 2015-12-09 um 12.11.51-minishadow

Eine genaue Auflistung der Neuerungen, noch zu implementierende Features (u.a. iCloud Sync), weiterführende Kommentare und der Downloadlink zur Beta sind im Forum des Entwicklers zu finden.

-> https://sweetpproductions.com/cookie5beta

Permalink

Occupy Flash

Der Flash Player ist tot. Seine Zeit ist abgelaufen. Er ist fehlerhaft. Er stürzt häufig ab. Er benötigt andauernd Sicherheitsaktualisierungen. Er funktioniert nicht auf den meisten Mobilgeräten. Er ist ein Fossil, übrig geblieben aus der Zeit geschlossener Standards und einseitiger Firmenkontrollen über Webtechnologien. Internetseiten, die auf Flash vertrauen, stellen ein vollständig inkonsistentes (und oft unbenutzbares) Erlebnis dar für den rasant wachsenden Anteil der Nutzer, die keinen Desktopbrowser verwenden. Zudem beinhaltet Flash dank der Flash Cookies einige erschreckende Mängel in den Bereichen der Sicherheit und der Privatsphäre.

2015-07-15_10h34_29

Ich persönlich bin ja schon seit etlichen Jahren der Meinung, dass man seine alltäglichen Arbeiten am Rechner auch sehr gut ohne Adobes Flash Player bewältigen kann. Ich weiß gar nicht wie oft ich in der Vergangenheit Freunden und Bekannten zur Deinstallation von Flash geraten hatte… Gleiches gilt übrigens auch für Microsofts Flash-Konkurrenten Silverlight und selbstverständlich Java.

In den letzten Tagen hat Alex Stamos, seines Zeichens Sicherheitschef bei Facebook, endlich ein end-of-life-date für Flash gefordert.

In die gleiche Kerbe haut Mark Schmidt, der Support Chef bei Mozilla, der gestern per Tweet angekündigt hat, dass Firefox ab sofort alle Flash-Versionen per default blockiert.

Ich kann gar nicht genug wiederholen wie sehr mich Flash die letzten Jahre genervt hat; und das vermutlich auch die kommenden Jahre noch tun wird. Denn wer glaubt ernsthaft daran, dass dieses mit Scheunentor großen Löchern versehene, technisch komplett überholte Stück Software in zwei oder drei Jahren gänzlich von der Bildfläche verschwinden wird?!

Das Problem liegt hier einfach bei den Anbietern. Und ich meine hier nicht irgendwelche Browser-Spiele, die Flash zum Zocken voraussetzen. Viele Streaming-Portale wie YouTube, Vimeo, Soundcloud & Co. setzen seit Jahren auf HTML5. Selbst Netflix und Maxdome haben als bisher einzige Streaming-Dienste auf HTML5 umgestellt und damit Silverlight (zumindest etwas) den Kampf angesagt. Aber was ist mit dem Spotify Web Player, was ist mit Amazon Instant Video, Sky Go/Snap/Online, Watchever und viele andere?! All diese Dienste benötigen zum Funktionieren auf dem Desktop zwingend Adobe Flash oder Silverlight! Warum?!

Bildschirmfoto 2015-07-15 um 11.25.43

Das muss endlich mal ein Ende haben und daher ist der Vorstoß von Facebook und Mozilla schon als kleiner Erfolg zu werten. Auch, dass Google mit Chrome und Microsoft mit dem Internet Explorer ihre eigenen Flash-Versionen gekapselt ausliefern, ist positiv zu sehen und allemal besser als ein systemweit installiertes Flash. Dennoch sind auch diese Versionen angreifbar und bieten keinen Schutz vor Zugriff durch Dritte.

Ich kann daher nur erneut an alle Leser appellieren sich von Flash zu verabschieden, der Occupy Flash Bewegung zu folgen und moderne Web-Technologien zu nutzen. Es macht das Internet, und ich verweise in diesem Zusammenhang gerne auf einen offenen Brief von Steve Jobs aus dem Jahre 2010, auf Dauer sicherer!

-> http://de.occupyflash.org

P.S. Ich musste mich beim Schreiben des Artikels übrigens sehr zusammenreißen nicht komplett im Rage-Modus zu verfallen und 1000+ Worte zu schreiben.