Permalink

Firewall Nonsens

Drüben bei MacMark gibt es einen sehr lesenswerten Artikel, der sich sehr kritisch mit Firewalls (u.a. in macOS) auseinander setzt.

Auch Little Snitch bekommt sein Fett weg.

Jeder hat das Wort Firewall schon gehört und weiß, daß es mit Sicherheit zu tun hat. Die coolen Kids installieren sich Firewalls und wägen sich in Sicherheit. Tatsächlich wird ein System nicht sicherer durch eine Firewall, sondern unsicherer, denn es löst das zugrundeliegende Problem nicht, sondern fügt ein weiteres hinzu. Wie man das Problem an der Wurzel packt und wie es überhaupt zum Firewall-Hype kam und warum Firewalls nur selten sinnvoll sind, darum geht es in diesem Artikel.

(via)

Permalink

E-Mail Verschlüsselung: GPG Suite 2017.1b3 für macOS 10.12 Sierra (Beta 3)

Anfang des Jahres hatte ich zur Verschlüsselung von E-Mails auf die erste Beta der GPG Suite für macOS Sierra hingewiesen.

Seit ein paar Tagen kann die dritte Beta getestet werden, die einen ganzen Batzen an Bugs erschlagen hat. So ist es mittlerweile auch mit Sierra wieder möglich seine E-Mails weitestgehend (siehe Release Notes > Known Issues) zuverlässig zu ver- und entschlüsseln.

Bildschirmfoto 2017-03-27 um 09.22.08_1300px

Dennoch gilt: Die Nutzung dieser Beta erfolgt auf eigene Gefahr. Bekannte und bei bisherigen Nutzern auftretende Probleme sind im GPGTools Beta-Forum dokumentiert.

Wer mit dem Thema E-Mail-Verschlüsselung und -Signierung noch gar nicht in Berührung gekommen ist, findet hier eine hervorragende Anleitung 😎

-> https://gpgtools.org

Permalink

macOS Gatekeeper: Apps mit macOS Sierra ohne Einschränkungen starten

Gatekeeper, eine Art Türsteher in macOS, baut auf den in macOS vorhandenen Malware-Prüfungen auf und soll den Mac vor Schadsoftware schützen.

In den macOS Systemeinstellungen findet man dazu unter Sicherheit > Allgemein zwei Optionen, die das problemlose Ausführen von Apps ermöglicht:

  • App Store
  • App Store und verifizierte Entwickler

Bildschirmfoto 2017-03-07 um 15.22.34-minishadow_1300px

Möchte man jetzt eine App starten, die weder im Mac App Store, noch von einem verifizierten Entwickler angeboten wird, muss man seit macOS Sierra einen Klimmzug machen. Denn die bis OS X El Capitan angebotene dritte Option Keine Einschränkungen ist in der Default-Einstellung von Sierra versteckt und muss (bei Bedarf) erst über ein Terminal sichtbar geschaltet werden.

Aber der Reihe nach… Man hat natürlich auch mit diesen Default-Einstellungen die Möglichkeit Apps von nicht verifizierten Entwicklern zu starten.

Lösung 1

Der wohl einfachste Weg führt über den Finder.

Um Gatekeeper temporär zu deaktivieren, muss man die entsprechende App mit gedrückt gehaltener Control-Taste + Linksklick markieren und im daraufhin aufpoppenden Kontextmenü Öffnen wählen.

Bildschirmfoto 2017-03-07 um 14.52.08-minishadow

Im nun folgenden Dialogfeld klickt man erneut auf Öffnen und bestätigt anschließend mit Eingabe des Administratornamens und des zugehörigen Passwortes die Veränderung der Sicherheitseinstellungen.

Bildschirmfoto 2016-12-01 um 23.37.31-minishadow_1300px

Lösung 2

Möchte man die App auf normalem Wege, beispielsweise über einen Schnellstarter, öffnen, wird zunächst eine Warnung angezeigt, die man mit Ok bestätigen muss.

Anschließend öffnet man die macOS Sicherheitseinstellungen, in denen die blockierende App jetzt unter den anfangs angesprochenen beiden Optionen angezeigt wird.

Bildschirmfoto 2016-12-01 um 23.37.29-minishadow_1300px

Mit Klick auf die Dennoch öffnen-Schaltfläche verifiziert man, analog zu Lösung 1, mit Eingabe des Admins inkl. Passwortes erneut die Veränderung der Sicherheitseinstellungen.

Lösung 3

Die ersten beiden Lösungen funktionieren wunderbar. Dennoch kann diese Klickerei bis zum Starten von nicht verifizierten Apps auf Dauer recht nervig sein – jaja, die liebe Sicherheit… 🙈✌️

Daher kann man, wie anfangs schon erwähnt, mit einem einfachen Terminal-Kommando die seit Sierra versteckte Option Keine Einschränkungen in den macOS Sicherheitseinstellungen sichtbar schalten.

sudo spctl --master-disable

Nach Eingabe des Admin-Passwortes kann man den Gatekeeper nun auch dauerhaft deaktivieren.

Bildschirmfoto 2017-03-07 um 16.08.18-minishadow_1300px

Möchte man den Urzustand wiederherstellen, führt ein ähnliches Terminal-Kommando zum Ziel. Auch hier ist wieder das Admin-Passwort erforderlich.

sudo spctl --master-enable
Permalink

macOS Tipp: passwortgeschütztes (verschlüsseltes) Disk-Image erstellen

Man bekommt ja heutzutage vermehrt seine Post elektronisch zugestellt; sei es nun per E-Mail oder per Download über den Webbrowser. Dazu zählen beispielsweise Rechnungen oder Verträge aller Art, Steuerunterlagen, Einzelverbindungsnachweise, Kontoauszüge u.v.m… Also alles Informationen, die mehr oder weniger sensible Daten enthalten und dementsprechend aufbewahrt werden sollten.

Nun kann man natürlich Apps wie VeraCrypt, Hider oder Knox (wurde vom 1Password Entwickler AgileBits Ende 2016 vorerst abgekündigt) nutzen, um diese Daten sicher auf der lokalen Festplatte zu verschlüsseln. Warum aber 3rd-Party-Apps nutzen, wenn es in macOS verschlüsselte Disk-Images gibt, die im Grunde genommen genau den gleichen Zweck verfolgen?!

Bildschirmfoto 2017-01-09 um 17.15.38

Passwortgeschützte bzw. verschlüsselte Disk-Images erstellt man mit dem Festplattendienstprogramm, das unter /Programme/Dienstprogramme/ zu finden ist.

Im Menü wählt man daraufhin unter Ablage > Neues Image, je nach Vorhaben, die Option Leeres Image oder Image von Ordner aus. Im neu eingeblendeten Fenster gibt man dem Disk-Image einen Namen, optionale Tags und legt den Speicherort sowie das Format und die Partitionstabelle fest.

Bildschirmfoto 2017-01-09 um 17.09.24-minishadow

Beim Image-Format sollte man zudem darauf achten, dass Mitwachsendes Image ausgewählt ist. Das hat den Vorteil, dass das Disk-Image anstatt einer vorgegebenen Größe nur soviel Platz belegt, wie tatsächlich benötigt wird.

Darüber hinaus gibt es noch das Mitwachsende Bundle-Image. Dieses wurde mit Mac OS X 10.5 Leopard eingeführt und zerlegt das Image in kleinere Dateien. Das hat gegenüber eines einzelnen großen Images den Vorteil, dass bei einer inkrementellen Datensicherung (z. B. mit Time Machine) nur die geänderten Teile des Images, anstatt die große Einzeldatei, gesichert werden.

Der entscheidende Punkt ist aber die Verschlüsselung des Images. Hier hat man die Wahl zwischen 128- und 256-Bit-AES-Verschlüsselung, die mit einem hinreichend guten Passwort abgesichert werden sollte.

Bildschirmfoto 2017-01-09 um 17.09.51-minishadow

Klickt man jetzt auf das erstellte Image, wird zunächst das Passwort abgefragt und anschließend das Image ins System eingebunden. Jetzt kann man schützenswerte Dokumente ins Image verschieben, die mit dem Auswerfen des Images sicher abgelegt sind.

Abschließend vielleicht noch ein Tipp: das Passwort nicht im Schlüsselbund sichern, sondern im Kopf aufbewahren 🎓

Permalink

E-Mail Verschlüsselung: GPGMail für macOS 10.12 Sierra (Beta 1)

Zum Thema E-Mail Verschlüsselung und -Signierung hatte ich mich schon vor etwas mehr als zwei Jahren ausführlicher geäußert.

Mit macOS 10.12 Sierra hat sich bei der Nutzung von S/MIME und der damit zusammenhängenden Erstellung des Zertifikats quasi nichts geändert.

Möchte man dahingegen das konkurrierende OpenPGP Protokoll nutzen, hatte man unter Sierra bis vor ein paar Tagen leider schlechte Karte. Nun ist aber die erste Beta der GPGSuite erschienen, die das für Apple Mail notwendige GPGMail Plugin enthält.

…after a painful and long waiting time, extensive reverse engineering and re-writing of major parts of our codebase, we are very happy to share the first beta of GPGMail for macOS Sierra with you.

Wie immer bei einer Beta: die Nutzung erfolgt auf eigene Gefahr. Bekannte und bei bisherigen Nutzern auftretende Probleme sind im GPGTools Forum dokumentiert.

-> https://gpgtools.tenderapp.com/discussions/problems/macosx-sierra
-> https://releases.gpgtools.org/GPG_Suite-2016.12b1.dmg (Direktdownload)

Permalink

macOS Boot-Prozess: Firmware Passwort setzen

Der Startvorgang beim Mac war bisher durch einen physikalischen Angreifer kompromittierbar. Nach dem Update auf macOS Sierra 10.12.2 werden standardmäßig keine Option ROMs mehr geladen, die sich auf angeschlossenen Thunderbolt / PCIe Geräten befinden. Um in jedem Fall sicherzugehen, sollte man ein Firmware-Paßwort setzen.

Das geht am schnellsten per Terminal mit

sudo firmwarepasswd -setpasswd -setmode command

gefolgt von einem Neustart.

(DEF CON 24 – Ulf Frisk – Direct Memory Attack the Kernel)

Permalink

Howto: Zwei-Schritt-Verifizierung von Amazon in 1Password speichern

Zum Thema Zwei-Faktor-Authentifizierung (2FA) im Zusammenhang mit 1Password hatte ich mich vor knapp 1½ Jahren schon mal ausführlicher geäußert.

Da Amazon dieses Feature nun endlich auch allen Kunden in Deutschland zur Verbesserung der Sicherheit zur Verfügung stellt, ist dieses Thema gerade wieder mehr als aktuell.

Zur Aktivierung der 2FA muss man sich in sein Amazon-Konto einloggen und unter Mein Konto > Einstellungen > Kontoeinstellungen > Anmelde- und Sicherheitseinstellungen > Erweiterte Sicherheitseinstellungen die Zwei-Schritt-Verifizierung auswählen.

Bildschirmfoto 2016-12-05 um 13.37.27

Zur Generierung der Codes bietet Amazon eine SMS aufs Telefon oder die altbekannte Methode per Authentifizierungs-App an (um die es nachfolgend gehen soll).

Da ich nach wie vor kein großer Fan des Google Authenticators bin, nutze ich zum Generieren dieser sechsstelligen Einmal-Codes den Passwort-Manager 1Password.

Schritt 1:
Bei einem leeren Feld wählt man rechts über das Auswahlmenü Einmal-Passwort aus.

Bildschirmfoto 2016-12-05 um 13.05.61-minishadow

Schritt 2:
Anschließend erscheint ein kleines QR-Code-Symbol, das auf Klick den 1Password-Codescanner zum Vorschein bringt.

Dieses transparente Fenster verschiebt man nun über den QR-Code, der von Amazon bei Auswahl der Methode Authentifizierungs-App angezeigt wird.

Danach das Ganze mit der Enter-Taste bestätigen und fertig.

Bildschirmfoto 2016-12-05 um 13.05.62-minishadow

Hinweis:
Auch wenn ich hier in den Screenshots die Vorgehensweise für die macOS-Version von 1Password vorgestellt habe, funktioniert diese mit den mobilen Version für iOS und Android quasi identisch.

[appbox appstore 443987910 simple]

[appbox appstore 568903335 simple]

[appbox googleplay com.agilebits.onepassword]

 

(inspired by)