Two-factor Authentication

Some thoughts about account security. I am securing most (well, all that are possible) of my online accounts with 2 factor authentication (2fa). Several of the past security breaches would have been impossible (well, at least more difficult) if users had enabled 2fa. Two independent components to identify a user significantly raise the bar to capture or hack an account- a simple password leak is not enough anymore.

Common services for 2fa:

  • email
  • SMS
  • Google Authenticator
  • FreeOTP (App)
  • YubiKey (Real Token)

A list of internet accounts that should be protected and a link to their security settings:

  • Dropbox http://www.dropbox.com/account#security
  • Facebook https://www.facebook.com/settings?tab=security
  • Twitter https://twitter.com/settings/security
  • Google https://accounts.google.com/b/0/SmsAuthConfig?hl=de
  • Microsoft https://account.live.com/summarypage.aspx
  • Steam (steam guard)
  • LinkedIn https://www.linkedin.com/settings/security-v2?goback=.nas_*1_*1_*1
  • Paypal https://www.paypal.com/myaccount/settings/security
  • WordPress (several plugins, example: https://wordpress.org/plugins/two-factor-auth/)

Devin Townsend Project 08/2014

Heute spielte Devin Townsend mit seiner Band in der Batschkapp – eigentlich sollte das Konzert im Nachtleben stattfinden – wurde aber auf Grund der Nachfrage in die (neue) Batschkapp verlegt.

Es war ein sehr kurzweiliger Abend mit einer energetischen Band und Devin – dem wie immer der Schalk im Nacken saß – die einen positiven Vibe versprühte!

Hier noch ein paar Eindrücke:

Devin Townsend Project Devin Townsend Project

Herbstwandertour Assmannshausen – Lorch

Das schöne Wetter und den Feiertag nutzend habe mich in das schöne Rheingau aufgemacht, um eine kleine Wandertour von Assmannshausen nach Lorch zu machen:

Tour_A_L

Geführt von meiner Wander-App startete ich von Assmanshausen nähe Bahnhof Richtung Rheinhöhenwanderweg durch die Weinberge. Kaum auf dem Rheinhöhenwanderweg angekommen traf ich im Wald auch schon auf ein paar Pilzsucher, die bereits reiche Beute gemacht hatten. Weiter ging es Richtung Rheinsteig – auf dem auch gleich mehr Wanderer unterwegs waren. Bei schönstem Sonnenschein ging es dann wieder durch die Weinberge nach Lorch, teils entlang des alten Kaufmannsweges, auf dem früher Waren transportiert worden, da der Rhein am Binger Loch nicht schiffbar war. Von Lorch kehrte ich mit der Bahn zu meinem Auto nach Assmannshausen zurück. Alles in allem eine schöne Tour, die ich nur empfehlen kann!

Was ich nicht empfehlen kann ist mit dem Auto an einem Feiertag in den Rheingau zu fahren – auf dem Rückweg gab es einen „leichten“ Rückstau (Understatement!), so dass ich ein paar Stunden vom Rheingau nach Wiesbaden benötigte.

Hier noch ein paar Impressionen meiner Wanderung: Weiterlesen

IT-SA Messebesuch

Auch dieses Jahr fand die IT-Security Messe it-sa in Nürnberg statt. Pünktlich zur Eröffnung der Messe durch Staatssekretärin Cornelia Rogall-Grothe vom Bundesinnenministerium, die die Bedeutung für IT Sicherheit in der deutschen Wirtschaft unterstrich, traf auch ich ein. Verschiedene Interessante Sicherheitslösungen wurden auf der Messe präsentiert – auch wenn keine umwerfenden Neuerungen (IMHO) präsentiert wurden, war dennoch oft ein direkter Blick auf Produkte und Lösungen möglich. Besonders interessierten mich die Fachvorträge zu IT-Recht, Compliance und Datenschutz, die zeigten was für ein komplexes Thema auch in rechtlicher Sicht die IT darstellt. Alles in allem ein lohnender Messebesuch, den ich Interessenten an IT Sicherheitsthemen nur weiterempfehlen kann.

Hochwassertourismus 2013

Nachdem der letzte Monat von starken Regenfällen gekennzeichnet war kommt jetzt das Hochwasser am Rhein an. Zwar nicht so schlimm wie in Passau oder Grimma, so trägt der Fluß sehr viel Wasser mit sich und ist an vielen Stellen weit über die Ufer getreten. Um mir ein Bild von der Lage zu verschaffen und meine Neugier zu befriedigen (sowie das erstmalig gute Wetter zum Radfahren zu nutzen) machte ich mich auf den Weg zum Rhein.

Hier ein Bild von der aktuellen Lage in Eltville:

Hochwasser

Hochwasser Eltville 2013

Zum Vergleich mein Beitrag von 2011.

Book Review: The Cuckoo’s Nest by Cliff Stoll

One of the first big hacking stories from the early days of the internet is decribed in this book. Cliff Stoll worked at the Lawrence Berkeley Laboratories when he started a 1 year hunt for a german hacker in August 1986. He traced the hacker over a 1200 baud  line (good old days!) which printed every keystroke of the hacker on a matrix printer, following unnoticed his every step. Interesting was the struggle to get one of the US agencies (FBI, NSA, CIA, Air Force OSI) interested in this case, while the hacker wormed his way through military and public servers. The carriers Tymnet and Deutsche Bundespost (Datex-P) were more forthcoming. Only as the KGB tried to get information through a Bulgarian proxy agent the agencies finally reacted and the hackers got arrested in Germany by the BKA.
More information about the hacker on german wikipedia.
Further interesting viewpoints from the nsa in the cryptolog magazine (internal nsa magazine which has just now become unclassified; cryptome mirror). Interestingly enough the US of A had privacy laws some years ago.

This is a very good book that shows in a compelling story typical attack vectors that are still used on a now daily basis on the internet.

Nexus 10 Review

A month ago I replaced my trusty Acer Iconia A500 Android tablet with a shiny new Nexus 10, here are some of my impressions after one month of using this (great) device:

The Nexus lies good in both hands, it is thin and light enough to hold it for longer times, though as most 10 inch tablets it is better to rest it on the knees or a tablet stand. The rubber coating at the back prevents the device from slipping out of the hands and gives a solid feel. Long usage and the back of the device gets warm. The battery life is nothing to cheer, it usually lasts only something around 8 hours. This is no big surprise though, the high resolution display (2560×1600) needs a lot of power, but rewards one with a great and crisp screen. Reading (Kindle) eBooks is fun and gives no (at least not much) strain on the eyes. Back to the battery – it feels as if it takes ages to charge it (2-3 hours). Android 4.2 is a steady improvement from 4.1, nothing earth shattering new, but still good with a great responsiveness. Some apps do not use the screen size perfectly, but I hope that they’ll get a better screen layout with the next updates (good tablet optimized apps are still somwhat rare for android).

In short: it’s great 🙂

Securing SSH

Script kiddies these days still try to take over servers by brute-forcing their way through an insecure SSH server, sometimes hammering the server with so many connections that it becomes unresponsive. With some basic steps a server can be secured.

The most important thing before starting to secure the server would be a strict enforcement of password rules. No user or system account should have a weak password (even better: use a key-based authentication).

Furthermore check your sshd_config settings and edit them to your needs, for a small server these settings should help:
LoginGraceTime 30 (a user has 30 seconds for a successful login)
StrictModes yes (enforce file security)
MaxAuthTries 2 (disconnect after failed attempts)
MaxStartups 3:30:10 (amount of unauthenticated sessions:percentage that session is rejected:max sessions)

More advanced security: You can secure your server with a monitoring daemon that actively scans your log files for intrusion attempts and temporarily adds malicious hosts to a firewall rule that drops all further connections. One of these tools is fail2ban, which can be easily configured to monitor your ssh logfile and and set your iptables firewall to drop those connections. You can even get a nice email message from your fail2ban daemon (see screenshot).