Archiv der Kategorie: real life und so

Gründe warum ich keinen Kontakt zu meinem Vater haben Nr XY

Ich hatte heute meiner Oma (seiner Mutter, wohnt im selben Haus wie er) angerufen und wurde von der Telefonseelsorge begrüßt. (hat sich bei wiederholtem Anruf bestätigt)

Beim Anruf mit unterdrückter Rufnummer habe ich meine Oma ohne Probleme erreicht (Spoiler: Sie wusste von nichts).

Die moralische Einordnung dieser Telefonweiterleitung überlasse ich dem Leser.

Migrate paperless-ngx from PostgreSQL to sqlite

#insert reasons (e.g. simpler backup)

My reason is that I consider switching from a docker install with PostgreSQL to https://github.com/alexbelgium/hassio-addons/blob/master/paperless_ngx because the new (2.0+) versions of paperless (docker) removed the support for arm-32.

Inspired by https://github.com/jonaswinkler/paperless-ng/issues/1550#issuecomment-1015784199

Also sqlite is not slow: https://litestream.io/blog/why-i-built-litestream/

1. Export the database
(Data is exported into your „export“ folder)

usr/src/paperless/src#:
python3 manage.py dumpdata --exclude=contenttypes --exclude=auth.Permission > /usr/src/paperless/export/data.json

2. Stop the app, Remove the database from your docker compose file and start the app again.

3. Import the data

usr/src/paperless/src#:
python3 manage.py loaddata --exclude=contenttypes --exclude=auth.Permission /usr/src/paperless/export/data.json

Die neue DKB App, PushTAN und die Haftung

Hintergrund: Ich besitze einen Master in der Informatik, bin interessiert an IT Sicherheit und schreibe diesen Post für Pishing Opfer denen die DKB eine grob fahrlässige Verletzung der Pflichten vorwirft.

Übersicht der TAN Verfahren vom BSI

PushTAN/AppTAN: App auf dem Smartphone

Das PushTan Verfahren firmiert bei den verschiedenen Banken unter verschiedenen Namen. Zur Nutzung dieses Verfahrens sind ein Smartphone oder Tablet und die entsprechende pushTAN-App notwendig. Nach Anmeldung des Verfahrens bei der Bank erhalten Kunden den Zugangscode für die App. Nach Eingabe der Transaktionsdaten, im Browser oder der Banking-App, werden die eingegebenen Daten zur Kontrolle noch einmal in der pushTAN-App angezeigt. Nachdem der Kunde diese bestätigt, wird die TAN generiert. Diese muss dann im Browser oder der BankingApp eingegeben werden. Manche Apps übernehmen diese auch automatisch. Die Sicherheit des TAN-Verfahrens kann erhöht werden, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. Auch hier sollte immer die aktuellste Version der App installiert sein.

eTAN/ChipTAN: TAN-Generator mit girocard

Beim ChipTAN-Verfahren kommen zwei voneinander unabhängige Geräte zum Einsatz. Erst einmal wird aus den Transaktionsdaten ein graphischer Code erstellt, der dann mit dem ChipTAN-Generator ausgelesen werden muss. Dieser Generator wird vorher mit der entsprechenden Bankkarte aktiviert und erstellt aus der Grafik eine Transaktionsnummer. Da der Generator selbst nicht mit dem Internet verbunden ist, kann er aus der Ferne nicht angegriffen werden. Sollten die generierten TANs Unbefugten in die Hände fallen, können damit jedoch keine anderen Transaktionen ausgeführt werden, weil sie dynamisch an die jeweilige Überweisung gebunden sind.

PhotoTAN/QR-TAN: Grafik am PC, dazu ein Lesegerät oder eine Smartphone App

Bei diesem TAN-Verfahren kommen zwei voneinander getrennte Geräte zum Einsatz. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik, die mit der entsprechenden App für die photoTAN ausgelesen wird. Der in der Grafik enthaltende Code wird in eine TAN gewandelt, mit der die Transaktion frei gegeben wird. Die grafische Datenverschlüsselung bietet Hackern keine große Angriffsfläche. Zusätzlich wird die App mit einem Passwort gesichert. Eine Sicherheitslücke könnte das Smartphone des Kunden sein, wenn es nicht regelmäßig mit den Aktualisierungen der Apps versorgt wird.

[…]

Jedoch bleibt der Einsatz eines externen TAN-Generator am sichersten, da dieser vom Internet getrennt ist und ausschließlich für das Onlinebanking benutzt wird

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Online-Banking-Online-Shopping-und-mobil-bezahlen/Online-Banking/smsTAN/sms-tan_node.html

Das neue Banking der DKB sieht nur noch die Smartphone App als TAN Verfahren vor.

Dies ist problematisch, da die App prinzipbedingt weniger sicher ist als ein getrenntes Gerät (ChipTAN).

  1. Weder App noch Nutzer können sicherstellen, dass auf dem Smartphone keine Schadsoftware läuft. Es findet zwar eine Überprüfung auf „root“ statt, was aber allenfalls ein Indikator einer Infektion ist – und sich einfach austricksen lässt.
  2. Die Nutzung eines alten Smartphones nur zum Banking ist unsicher, da alte Smartphones kaum mit Sicherheitsupdas versorgt werden.
  3. Das Smartphone braucht zwingend einen Zugang zum Internet, was ein potentielles Infektionsrisiko darstellt.
  4. Die App ist gleichzeitig der einfache Zugang zum Finanzstatus.

Die allermeisten Nutzer werden also ihr alltags Smartphone zum Banking benutzen.

Die Banken sind sich dieses Risikos bewusst und geben Tipps das installieren von Schadsoftware zu verhindern. Siehe: https://www.vrbank-hg.de/onlinefiliale/sicherheit/phishing-warnungen/phishing-android-app.html

Nur ganz verhindern lässt sich das nicht, es bleibt immer ein Restrisiko – vor allem unter dem Aspekt, dass gerade Nutzer günstiger Smartphones oft spärlich mit Updates versorgt werden: https://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

Die DKB hat sich nun entschlossen alle Nutzer auf ihre neue App umzustellen und im gleichen Zug auch das deutlich sicherere ChipTAN ausgehebelt, denn selbst mit den ChipTAN spezifischen Anmeldedaten (an der aktuellen Website) wird das nur noch die App als TAN Verfahren benutzt.

Damit ist meiner Einschätzung nach technisch keine starke Kundenauthentifizierung mehr gegeben und es dürfte unmöglich sein dem Kunden eine grobe Fahrlässigkeit nachzuweisen. Und damit ist die DKB voll in der Haftung. Siehe https://www.stader.legal/missbrauch-im-onlinebanking.html

Aussagen der DKB

meine Anfrage

Laut der FAQ ist chipTAN im neuen Banking nicht mehr vorgesehen, sondern alles benutzt nur noch Push-Tan.

TAN2go und chipTAN benötigst du nur für die Funktionen, bei denen du ins bisherige Banking geleitet wirst.

https://www.dkb.de/fragen-antworten/welche-tan-verfahren-bietet-die-dkb-an

Dieses Verfahren ist inherent weniger sicher und wurde von mir explizit nicht freigegeben.
Nur noch das alte Banking zu nutzen ist auch keine Lösung, da ein potentieller Angreifer ja einfach das neue Banking nutzen kann.

Wie kann ich weiter chip-TAN (echte 2 factor) benutzen?

Die Antwort der DKB liest sich wie eine vorbereitete Pressemitteilung, ich muss also Vermuten, dass sie sich des Risikos voll bewusst sind.

Meine etwas zynische Zusammenfassung der Antwort: Bequemlichkeit ist uns wichtiger als Sicherheit. Hier die Antwort im Wortlaut.

Das neue Banking ist mit der neuen App verknüpft und kann nur

gemeinsam genutzt werden.

Als Direktbank legen wir Wert auf bequeme und sichere Bankgeschäfte.

Unsere Lösungen sind optimal auf mobile Endgeräte abgestimmt.. Die

Mehrzahl unserer Kund*innen schätzt und erwartet bequeme, sichere

Technologien für ihre Bankgeschäfte. Diesem Wunsch fühlen wir uns

verpflichtet und entwickeln auch künftig Lösungen, die mit mobilen

Endgeräten sehr gut vereinbar sind.

Wir bitten Sie daher zu berücksichtigen, dass Smartphones und Tablets

als auch digitale Authentifizierungsverfahren, Vertragsabschlüsse sowie

Vermögensverwaltung künftig unsere und damit Ihre Begleiter im Banking

sein werden.

Als chipTAN-Nutzer*in können Sie bis auf Weiteres das bisherige Banking

wie gewohnt nutzen.

Update: Laut FAQ wird an einer hardware Lösung gearbeitet, wie sie aussieht, wann sie kommt – und warum man nicht einfach weiter ChipTAN unterstützt erschließt sich mir nicht.

Update 2: Die Gerichte scheinen PushTAN auch für unsicher zu halten https://www.golem.de/news/onlinebanking-gericht-haelt-push-tan-verfahren-fuer-unsicher-2310-178689.html.

HP ProBook 440 G4, Ubuntu 17.04 Nvidia Prime and SecureBoot

Short review:

The Display is way better than other reviews state.
Yes, it’s bad in direct sunlight, but I can live with that.

With the brightness turned up I’ll get about 8h of battery while writing in LATEX or Markdown and occasionally browsing in Chrome.

The HDD slot is a slim one (7mm height).

Secureboot with Nvidia Prime / Optimus / nvidia-prime

This will sign all your new modules automatically on a new kernel.

Reminder: keep your secret key save, e.g. encrypt your harddrive.

Based on: https://gist.github.com/Garoe/74a0040f50ae7987885a0bebe5eda1aa

# Place all files in ~/.ssl folder

mkdir ~/.ssl
cd ~/.ssl

# Generate custom keys with openssl

openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -subj „/CN=Owner/“

Create file: sign-all-modules: (replace username with yours)

#!/bin/bash

echo „Signing the following modules“
for filename in /lib/modules/$(uname -r)/updates/dkms/*.ko; do
/usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 /home/<USERNAME>/.ssl/MOK.priv /home/<USERNAME>/.ssl/MOK.der $filename

echo „$filename“
done

 

# INSTALL FILE TO RUN AFTER KERNEL UPGRADE

sudo install ~/.ssl/sign-all-modules /etc/kernel/postinst.d/

#Add the key to the trusted keys database

sudo apt-get install mokutil
sudo mokutil –import ~/.ssl/MOK.der

# install the nvidia driver

Follow https://help.ubuntu.com/community/BinaryDriverHowto/Nvidia, but don’t disable secure boot

# run the script once

cd /etc/kernel/postinst.d/

sudo  ./sign-all-modules

# reboot

and install keys in EFI

Switch Graphics Cards

Just install PRIME INDICATOR PLUS – http://www.webupd8.org/2016/10/prime-indicator-plus-makes-it-easy-to.html

sudo add-apt-repository ppa:nilarimogard/webupd8
sudo apt update
sudo apt install prime-indicator-plus

Activate Sleep/Standby on lid close

https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1574120

edit your /etc/systemd/logind.conf
add: HandleLidSwitchDocked=suspend

Side effect: your laptop will sleep with the lid closed and an external monitor attached.

Three Finger as Middle Mouse Button

Klick the touchpad on the upper right corner.

OR:

run:

synclient ClickFinger3=2
and
synclient TapButton3=2

make it permanent:
add the commands to the file ~/.profile

Save Power

install laptop-mode-tools: https://wiki.ubuntuusers.de/laptop-mode-tools/

in English with gui: http://www.webupd8.org/2014/01/install-laptop-mode-tools-164-with.html

or you can use sudo powertop –auto-tune
and make those changes permanent: https://askubuntu.com/questions/112705/how-do-i-make-powertop-changes-permanent

 

Mute Button won’t change color

known bug, but a workaround exists for kernel >= 4.12

download and install kernel from: http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.13-rc1/

(sudo dpkg -i * in the kernel-dl folder)

then

add „options snd-hda-intel model=mute-led-gpio“ in „/etc/modprobe.d/alsa-base.conf

https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1683277

Android Encryption with CustomROM

If you are using a CustomROM on your device and the Encryption process gets stuck at the nice little robot with the gears and adb-logcat only says:

E/Cryptfs ( 217): Bad magic for real block device /dev/block/platform/msm_sdcc.1/by-name/userdata
E/Cryptfs ( 217): Orig filesystem overlaps crypto footer region. Cannot encrypt in place.

it means that your userdata filesystems fills the whole partition.

Android needs a little space left at the end of the filesystem to store encryption-metadata.

But there is a fix for this: https://forum.xda-developers.com/showthread.php?t=2122702

Hurray 🙂

Beware: there is an issue with accessing your data with some recoveries
https://github.com/TeamWin/Team-Win-Recovery-Project/issues/334

—————-

Sollte euer Android mit Custom Rom, z.B. Cyanogenmod auf dem Verschlüsselungsbildschirm (Roboter mit Zahnrädern) hängen bleiben und im log nur:

E/Cryptfs ( 217): Bad magic for real block device /dev/block/platform/msm_sdcc.1/by-name/userdata
E/Cryptfs ( 217): Orig filesystem overlaps crypto footer region. Cannot encrypt in place.

stehen, dann gibt es hier einen fix: https://forum.xda-developers.com/showthread.php?t=2122702

Das Problem ist, dass das userdata-Dateisystem die komplette Partition füllt, Android aber ein wenig Platz am Ende benötigt um Metadaten für die Verschlüsselung zu speichern.

Aber Achtung: es scheint derzeit ein Problem mit verschiedenen Recoveries zu geben:
https://github.com/TeamWin/Team-Win-Recovery-Project/issues/334

Ubuntu chroot initrd

Sollte zufällig euer Softwareraid nach einer wiederherstellung nicht mehr booten und euch viel zu spät auffallen, dass unter / die symlinks auf initrd.img und vmlinuz fehlen, dann liegt es vielleicht daran, dass euer apt kleine probleme mit subskripten hat.

Softraid Rettung:

!!! Grub wiederherstellen aus chroot !!!

 

http://wiki.hRtzner.de/index.php/Festplattenaustausch_im_Software-RAID

 

http://wiki.hetzner.de/index.php/Hetzner_Rescue-System#Einbinden_von_LVM-Volumes

eine Lösung: https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1325142

Für 64bit Systeme sind die Datenamen dann mit :amd64

my quick-fix work-around was to change the exit code errors into warnings:

apt-get -q update

# on 32bit version:
sed -i -e ’s/exit $?/exit 0/‘ \
„/var/lib/dpkg/info/libpam-systemd:i386.prerm“
service systemd-logind stop

apt-get –yes install systemd-services

sed -i -e ’s/exit $?/exit 0/‘ \
„/var/lib/dpkg/info/libpam-systemd:i386.postinst“

apt-get –yes install libpam-systemd
apt-get -f install –yes

sed -i -e ’s/exit $?/exit 0/‘ \
„/var/lib/dpkg/info/whoopsie.prerm“
apt-get –yes remove whoopsie libwhoopsie0

apt-get –yes upgrade

Hamish