FRITZ!Box Sicherheitslücke größer als angenommen

17. Februar 2014, 23:57 von Tobi | Keine Kommentare

AVM Logo

Vor genau zwei Wochen tauchten die erste Berichte auf, dass die weit verbreiteten und beliebten FRITZ!Boxen von AVM eine Sicherheitslücke aufweisen. Einige FRITZ!Boxen wurden gekapert und für teure Telefonate ins Ausland missbraucht. Laut AVM sind die Angreifer über den Fernzugriff (über Port 443 oder MyFRITZ!-Dienst) auf die FRITZ!Boxen gelangt. Als Empfehlung nannte AVM den HTTPS-Fernzugriff (Port 443) und den MYFRITZ!-Dienst im Router zu deaktivieren.

Einige Tage später hat AVM ein Update für rund 30 Modelle veröffentlicht, welches die Sicherheitslücke schließt und damit wieder die Nutzung des Fernzugriffs ermöglicht. Auch die Kabel-Betreiber haben die Updates mittlerweile für die speziellen Kabel-FRITZ!Boxen an ihre Kunden verteilt.

Am 11. Februar 2014 hat sich sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Wort gemeldet. Es empfiehlt das Fritz!Box-Update dringend einzuspielen, da bisher nur ca. 20 Prozent der Anwender das Update eingespielt haben. Auch AVM hat gestern erneut auf das Sicherheits-Update hingewiesen.

Sicherheitslücke gefährlicher als bislang bekannt

Über die genauen Details der Sicherheitslücke hat AVM bisher keine Stellung abgegeben. Bisher war nur bekannt, dass die Sicherheitslücke lediglich für FRITZ!Boxen mit aktiviertem Fernzugriff vorhanden war. Durch die Analyse des kürzlich veröffentlichten Updates hat Heise Security jetzt jedoch herausgefunden, dass die Sicherheitslücke auch ohne aktivierten Fernzugriff vorhanden ist. Demnach ist die Sicherheitslücke deutlich gravierender als zunächst angenommen. Außerdem sind alle FRITZ!Boxen davon betroffen.

Im Grunde reicht schon eine einfache Webseite mit Schadcode aus, um auf der FRITZ!Box beliebige Befehle mit Root-Rechten auszuführen. Neben dem Admin-Passwort können somit auch DSL- oder VoIP-Zugangsdaten im Klartext ausgelesen werden.

Daher auch von mir noch einmal der Appell, die aktuellste Firmware-Version zu installieren!

Alle User einer Gruppe / OU mit PowerShell auslesen

13. Februar 2014, 19:08 von Tobi | 1 Kommentar

In großen Active Directory Umgebungen kann sehr leicht der Überblick verloren gehen. Beispielsweise hört sich die Aufgabe, alle Benutzer innerhalb einer bestimmten AD-Gruppe aufzulisten, sehr einfach an. Enthält diese Gruppe aber viele weitere verschachtelte Gruppen, ist das Ganze nicht mehr so trivial. Mit Hilfe der PowerShell ist jedoch eine einfache und komfortable Lösung möglich.

Ausgangspunkt ist das Cmdlet “Get-ADGroupMember“. Folgender Befehl identifiziert alle Benutzer einer bestimmten Gruppe, die anschließend nach Namen sortiert aufgelistet werden:

Get-ADGroupMember -Identity GRUPPENNAME -recursive | sort -property name | ft name

Der nachfolgende Befehl listet alle Benutzer auf, die sich innerhalb einer angegebenen OU befinden. Der Befehl muss vor dem Einsatz noch an die eigenen Gegebenheiten angepasst werden.

Get-ADUser -Filter { Name -Like "*" -and Enabled -eq $true } -Searchbase "OU=accounts,OU=usa,DC=test,DC=com" | Where-Object {($_.name -notlike "test*") -and ($_.name -notlike "*_c1")} | sort name | ft name

Erster Trailer zu Transformers: Ära des Untergangs

8. Februar 2014, 15:18 von Tobi | Keine Kommentare

Letzte Woche wurde der erste Trail zu Transformers 4 veröffentlicht. Der deutsche Trailer ist bei YouTube in HD verfügbar.

Der neueste Transformers-Teil hört auf den Namen Transformers: Ära des Untergangs und wird am 17. Juli 2014 in den deutschen Kinos anlaufen. Mit dabei sind Mark Wahlberg und die in China sehr bekannte Schauspielerin Bingbing Li.

Exchange 2010 – Liste aller Mailboxen mit ActiveSync-Geräten erstellen

7. Februar 2014, 17:28 von Tobi | 1 Kommentar

Vor einigen Monaten habe ich bereits einen Artikel mit PowerShell Befehlen für Exchange 2010 veröffentlicht. Unter anderem habe ich zwei nützliche Cmdlets vorgestellt, die alle ActiveSync Geräte für ein bestimmtes Postfach bzw. alle Geräte, die jemals mit dem Exchange-Server verbunden waren, auflisten.

Ein Leser hat mich per Mail gefragt, ob es eine Möglichkeit gibt, alle Postfächer mit ActiveSync-Geräten aufzulisten und das Ergebnis in eine CSV-Datei zu exportieren. Da mit PowerShell so gut wie alles möglich ist, ist auch diese Anforderung kein Problem. Wie immer führen verschiedene Wege zum Ziel.

Zuerst eine schnelle Lösung, die alle verfügbaren Daten ausgibt, dadurch aber auch sehr unübersichtlich ist:

$output = "C:\Temp\output.csv"
$devices = @()
$mailboxes = Get-CASMailbox -ResultSize:Unlimited | Where-Object {$_.HasActiveSyncDevicePartnership -eq $true}
foreach ($data in $mailboxes) {
	$devices += Get-ActiveSyncDeviceStatistics -Mailbox $data.Samaccountname
}
$devices | Where-Object {$_} | Export-Csv $output

Das zweite Skript kann den eigenen Bedürfnissen angepasst werden und liefert eine deutlich übersichtlichere Liste.

$output = "C:\Temp\output.csv"

new-item $output -type file -force -value "User;DeviceType;DeviceModel;DeviceID;DeviceOS;DeviceUserAgent;FirstSyncTime;LastSyncTime`r`n"

$devices = Get-ActiveSyncDevice | Get-ActiveSyncDeviceStatistics

ForEach($device in $devices) {
	$Model = $device.DeviceModel
	$Type = $device.DeviceType
	$ID = $device.DeviceID
	$OS = $device.DeviceOS
	$FirstSyncTime = Get-Date $device.FirstSyncTime -Format 'dd.MM.yyyy HH:mm'
	$LastSyncTime = Get-Date $device.LastSuccessSync -Format 'dd.MM.yyyy HH:mm'
	$UserAgent = $device.DeviceUserAgent

	$User = $device.identity|out-string
	$User = $user.split("/")[-2]

	Add-Content -Path $output "$User;$Type;$Model;$OS;$ID;$UserAgent;$FirstSyncTime;$LastSyncTime"
}

Beide Skripte haben eine relativ lange Laufzeit, die natürlich von der verwendeten Exchange-Umgebung abhängig ist. Als ungefähre Richtzeit kann man eine Minute für 100 Postfächer rechnen.

Schulferien in Outlook anzeigen

6. Februar 2014, 19:15 von Tobi | Keine Kommentare

Outlook 2013 Logo

Seit Outlook 2007 können Feiertage im Outlook-Kalender bequem angezeigt werden. Die entsprechende Einstellung ist unter “Datei”, “Optionen”, “Kalender”, “Feiertage hinzufügen…” erreichbar.

Bei den Schulferien funktioniert das leider nicht so einfach. Die entsprechenden Termine müssen zuerst beschafft und dann importiert werden. Eine empfehlenswerte Quelle ist die Seite “Schulferien.org“. Dort lassen sich die Ferientermine aller deutschen Bundesländer als iCal-Datei herunterladen.

Nach erfolgreichem Download müssen die Termine in Outlook importiert werden. Hier eine kurze Anleitung:

  • In Outlook auf “Datei” und dann “Öffnen” klicken.
  • Anschließend auf “Importieren” klicken.
  • Im Auswahlfenster die zweite Option auswählen (iCalender- (ICS)…)
  • Jetzt die vorher heruntergeladene iCal-Datei angeben
  • Im folgenden Dialogfenster “Importieren” auswählen, sodass die Schulferien in den eigenen Kalender übernommen werden.

(via)

Firefox 27 – alle Änderungen im Überblick

5. Februar 2014, 18:39 von Tobi | 4 Kommentare

Firefox Logo 23+

Wie geplant wurde gestern die erste neue Firefox Version im Jahr 2014 veröffentlicht. Im Gegensatz zur letzten Version bringt Firefox 27 nur kleinere Änderungen mit:

  • TLS 1.1 und TLS 1.2 sind standardmäßig aktiviert (Transport Layer Security)
  • Unterstützung von SPDY 3.1
  • Erweiterung der Social API, Seitenleiste zeigt Infos von mehreren sozialen Diensten gleichzeitig (bisher war nur ein Dienst möglich)
  • Verbessertes Favicon-System unter der Haube
  • Debugger kann Obfuscated-Javascript-Code lesbar machen
  • einige Fehler und Sicherheitslücken wurden behoben

Der geplante Termin für Firefox 28 ist der 18. März 2014.

Download Firefox 27
Portable Firefox 27 @ Caschy

Windows Explorer mit Administratorrechten starten

3. Februar 2014, 17:14 von Tobi | 2 Kommentare

Standardmäßig läuft der Windows Explorer immer mit Benutzerrechten. Doch damit lassen sich nicht alle Aufgaben erledigen, insbesondere wenn die Benutzerkontensteuerung (UAC) deaktiviert ist. Die Bearbeitung von Systemdateien oder Änderungen im Programme-Verzeichnis ist in solch einem Fall nicht ohne Weiteres möglich. Bei aktiver Benutzerkontensteuerung erscheint in solchen Fällen ein Dialogfeld, welches nach einer administrativen Berechtigung fragt. Sofern diese Abfrage bestätigt wird, werden in den betreffenden NTFS-Objekten die Zugriffsrechte für das aktuelle Benutzerkonto eingetragen. Diese Vorgehensweise ist jedoch auch nicht sehr schön, da die Zugriffsberechtigungen permanent geändert werden und es außerdem zu unübersichtlichen Rechtestrukturen führt.

Ein offensichtlicher Ausweg wäre den Explorer ausdrücklich mit Adminrechten (“Als Administrator ausführen”) bzw. als Administrator (“Als anderer Benutzer ausführen”) zu starten. Diese Möglichkeit funktioniert aber nicht, da die DCOM-Anwendung “Elevated-Unelevated Explorer Factory” dieses Vorhaben unterbindet.

Lösungsmöglichkeiten

Eine einfache Lösung für das oben beschriebene Problem ist die Verwendung eines alternativen Dateimanagers (FreeCommander, Total Commander, Explorer++, usw.). Dieser kann problemlos über das Kontextmenü als Administrator gestartet werden.

Die zweite Lösung bezieht sich auf den Windows Explorer, bedingt aber eine Änderung in der Registry. Dadurch wird die Admin-Überwachung des Windows Explorers in Form der DCOM-Anwendung modifiziert. Allerdings ist anzumerken, dass dadurch das Sicherheitskonzept von Windows teilweise ausgehebelt wird.

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren:
    HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
  3. Zunächst müssen die Berechtigungen des Schlüssels angepasst werden. Im ersten Schritt muss der gewünschte Benutzer zum Besitzer des Schlüssels gemacht werden. Anschließend kann die Berechtigung “Vollzugriff” vergeben werden.
  4. In der rechten Fensterseite muss anschließend die Zeichenfolge “RunAs” gelöscht bzw. der Name geändert werden.

Registry_Windows_Explorer_Admin

Jetzt ist die Admin-Überwachung in Form der DCOM-Anwendung “Elevated-Unelevated Explorer Factory” deaktiviert und der Windows Explorer kann als Administrator gestartet werden.

Quellen

  1. http://www.borncity.com/blog/2011/04/29/explorer-als-administrator-ausfhren/
  2. http://www.borncity.com/blog/2014/01/28/dateimanager-mit-administrativen-rechten-ausfhren/
  3. http://www.faq-o-matic.net/2010/11/08/uac-den-explorer-mit-admin-rechten-starten/
  4. http://www.heise.de/ct/hotline/Explorer-mit-Administratorrechten-1258468.html
  5. http://www.winvistaside.de/forum/index.php?showtopic=3352
  6. http://www.thorsten-butz.de/run-explorer-as-admin/

Die korrekte Entsorgung von Tonern: So geht’s!

3. Februar 2014, 14:59 von Tobi | 1 Kommentar

Laserdrucker sind aus den Büros nicht mehr wegzudenken. Denn wenn regelmäßig große Mengen an Papier bedruckt werden müssen, sind Tintenstrahldrucker keine wirklich effiziente Alternative. Neben dem ständig notwendig werdenden Wechsel der Patronen entstehen zudem zu hohe Stückkosten pro bedrucktem Blatt Papier. Dies bestätigt auch der Vergleich vom PC Magazin: http://www.pc-magazin.de/ratgeber/vergleich-laser-oder-tintenstrahldrucker-1504877.html. Außerdem werden Toner nicht nur für Laserdrucker sondern auch für Kopierer benötigt.

Allerdings stehen die Nutzer am Ende des Tages vor einem Problem: Wie können die Toner korrekt entsorgt werden?

Neue Entsorgungsprobleme im Büro

Anders als in der Produktion ergeben sich im Bürobereich von Unternehmen eher selten Entsorgungsprobleme. In der Regel entsteht eine große Menge an Altpapier sowie eine kleine Menge an Verpackungs- und Restmüll. Eher selten muss man sich dagegen mit Fragen zu Sondermüll beschäftigen. Wenn allerdings eine Tonerkartusche leer ist, ergeben sich Probleme in Sachen Entsorgung auch auf den Bürofluren.
Im privaten Rahmen stellt sich nur vereinzelt die Frage nach der richtigen Entsorgung von Tonern. In der Regel genügen für den Hausgebrauch Tintenstrahldrucker. Die entsprechenden Patronen können problemlos über den Hausmüll entsorgt werden.

Tonerkartuschen sind kein Restmüll

Der in den Kartuschen enthaltene Toner ist gesundheitlich nicht vollkommen unbedenklich, wenn er aus der Kartusche in die Luft gerät. Bei geschlossenen Kartuschen ergibt sich hierbei kein Problem. Anders sieht es aus, wenn Kartuschen achtlos in den Restmüll geworfen werden und dort gegebenenfalls zerbrechen. Denn auch eine leere Kartusche enthält Reste von Toner. Allerdings ist die Entsorgung von Sondermüll mit zahlreichen Hürden formaler Art sowie mit Gebührenkosten verbunden. Dabei lassen sich Tonerkartuschen in der Regel recyceln. Dementsprechend gibt es eine Reihe von Unternehmen, die sich auf die Abholung gebrauchter Tonerkartuschen spezialisiert haben. Da diese in der Regel neu gefüllt werden, geschieht die Abholung häufig sogar kostenlos.  Dies gilt vor allem dann, wenn eine größere Anzahl von Kartuschen gleichzeitig abgeholt werden kann.
Alternativ bieten auch viele Händler ihren Kunden die Möglichkeit, leere Tonerkartuschen kostenfrei zurückzuschicken. Bei HQ-Patronen findet man beispielsweise unter http://www.hq-patronen.de/toner-entsorgen.aspx weitere Informationen zu dieser Möglichkeit.

Auch eine Abgabe bei Refill-Unternehmen ist möglich

Eine weitere Möglichkeit ist der postalische Versand von Kartuschen an ein Refill-Unternehmen. Sofern ein solches vor Ort ansässig ist, können Kartuschen meist auch direkt abgegeben werden. Insofern ist es beim Toner entsorgen nicht dringend notwendig, sich in die Bestimmungen und Öffnungszeiten der örtlich zuständigen Entsorgungsunternehmen einzulesen. Viel einfacher und bequmer ist es, diese kostenfrei zu versenden oder abholen zu lassen.

Java Update 51 blockiert selbst signierte Anwendungen

30. Januar 2014, 19:02 von Tobi | 8 Kommentare

Mit dem Java 7 Update 51 für Windows wurde eine große Änderung eingeführt, die selbstsignierte und unsignierte Anwendungen betrifft. Diese werden fortan standardmäßig blockiert. Beim Start einer selbstsignierten Anwendung wird dann dieser Fehler ausgegeben:

Ihre Sicherheitseinstellungen haben die Ausführung einer selbstsignierten Anwendung blockiert

Java_Fehler

Es existieren drei Lösungswege, wie solche Anwendungen weiterhin verwendet werden können.

  1. Anwendung mit einem vertrauenswürdigen Zertifikat signieren.
  2. Anwendung in die “Liste der ausgenommenen Websites” eintragen. Diese neue Option befindet sich in den Java-Einstellungen (über die Systemsteuerung erreichbar) im Reiter “Sicherheit”. Weitere Infos dazu gibt es direkt bei Oracle.
  3. Die dritte Möglichkeit funktioniert am einfachsten, bietet aber auch die größten Sicherheitsbedenken. Einfach den Schieberegler in den Java-Einstellungen von “Hoch” auf “Mittel” herabsetzen und schon funktionieren alle Anwendungen.

Java Einstellungen

Lego bauen mit Google Chrome

29. Januar 2014, 18:23 von Tobi | Keine Kommentare

Bereits 2012 ist Google mit Lego eine Kooperation eingegangen, woraus die Webseite “Build with Chrome” entstanden ist. Dort kann man wie früher als Kind, mit Legosteinen spielen und beispielsweise Bauwerke  erschaffen. Das Experiment soll dabei in erster Linie die Fähigkeiten (WebGL) des Google Chrome Browsers aufzeigen.

Vor einigen Tagen hat Google der Webseite ein Update spendiert. Unter anderem wurde das Chrome-Experiment nun weltweit ausgerollt und die Bauwerke von anderen Nutzern lassen sich bei Google Maps anschauen. Das Bauen mit Legosteinen funktioniert sehr gut und lässt Erinnerungen an die Kindheit aufkommen. Mit Hilfe der “Build Academy” werden die Grundlagen der Weboberfläche und des Bauens vorgestellt. Neben einer kurzen Einführung werden auch verschiedene Bauwerke angeboten, die anhand von bestimmten Vorgaben nachgebaut werden können, wobei das Niveau stetig ansteigt.

Lego bauen unter Google Chrome

Seite 10 von 116Erste...89101112...20...Letzte