Security Checklist

Der heise Verlag hat eine interessante Security Checkliste veröffentlicht:

http://www.heise.de/ct/ausgabe/2016-1-Praxis-Sicherheits-Checkliste-3048056.html

Hier ist meine kurzfassung der (für mich) wichtigsten Punkte.

iPhone & iPad

  • Code Sperre verwenden
  • beim Einsatz der TouchID den Code gut aufbewahren, bei Verlust geht nichts mehr; der Code wird nach Reboot benötigt
  • die Funktion “Mein iPhone suchen” verwenden, damit ist auch ein remote Wipe möglich
  • AppleID absichern mit gutem Passwort und zwei-Faktor Authentifizierung; wer an die Apple ID ran kommt hat Zugriff auf die remote-wipe Funktionen und alle Daten in der iCloud
  • Wer lokale Backups mit iTunes macht soll diese verschlüsseln. Das hat zwei Vorteile: Daten sind geschützt und es werden auch WLAN Passwörter und andere sensitive Daten mitgesichert, die sonst verloren gehen würden
  • Datenschutz Einstellungen prüfen; es lohnt sich immer wieder gewissen Apps die Berechtigung auf nicht benötigte Funktionen zu entziehen
  • Jailbreak vermeiden, das erhöht die Angriffsfläche und setzt die eingebauten Sicherheitsmechanismen ausser Kraft.

Windows

  • Windows Updates installieren, möglichst immer sofort und automatisch
  • Software aktualisieren (Java, Flash etc.), dazu gibts Tools wie Secuina Personal Inspector, FileHippo App Manager oder das Chocolatey Framework für die installation und aktualisierung von Softwarepaketen. Letzteres ist eher für fortgeschrittene Benutzer.
  • Datenschutz verbessern, das geht am einfachsten mit der kostenlosen App O&O ShutUp 10 ; meine Einstellungen habe ich hier veröffentlicht.
  • Virenschutz prüfen; Windows hat auch einen OnBoard, der aber nicht so oft unter den besten landet aber immerhin. Cool: mit einem Registry Hack kann Windows Defender auch Adware erkennen. Hier ist der RegKey.
  • Windows Firewall aktiviert lassen, vor allem auf Notebooks: beim verbinden in öffentlichen Netzen blockiert die Firewall den Zugriff auf Freigaben und verhindert dass Neugierige sie sehen.

WLAN

  • Konfigurations-Passwort setzen (war ja wohl klar oder?)
  • WLAN individualisieren: cT empfiehlt nur WPA2 mit AES zu verwenden (auch bekannt als WPA2/CCMP)
  • fürs WLAN Passwort “genügen” 16 Zeichen, aber keien Umlaute und Sonderzeichen verwenden
  • unterdrücken der SSID und MAC Filter erhöhen die Sicherheit nicht sondern machen nur zusätzliche Arbeit
  • Gastnetze sollen auch mit WPA2 und Passwort geschützt werden
  • WPS abschalten und nicht verwenden, wird nach einrichtung nicht mehr benötigt
  • UPnP nützt nicht nur guten, sondern auch bösen Applikationen. Also: abschalten.

Router

  • Konfiguration-Passwort setzen😉
  • am besten externe Kommunikation nur mit sicheren Protokollen erlauben (HTTPS, IMAPS, SMTPS, SFTP, SSH

Web Browser

  • Plugins ausmisten (brauchst du wirklich Java?)
  • Firefox stellt PDFs auch ohne Adobe Reader dar
  • Click-to-Play aktivieren:
    • Chrome: Einstellungen/Erweiterte Einstellungen/Datenschutz/Inhaltseinstellungen/Plug-in/Selbst auswählen
    • Firefox: im Addons-Manager (about:addons) unter Plugins, rechts die Einstellung “Immer aktivieren” auf “Nachfragen, ob aktiviert werden soll” ändern
    • IE: Einstellungen/Addons verwalten/Kontextmenü eines Plug-ins auf “WEitere Informationen” klicken, und “alle Sites entfernen” wählen (falls Option vorhanden); leider geht bei mir für Java und Flash nicht?!
  • Wer den Passwort Manager z.B. von FireFox benutzt, sollte ein Masterpasswort setzen damit die Passwörter verschlüsselt werden
    • Google kann Passwörter einsehen, das kann aber verhindert werden durch zusätzliche verschlüsselung: Auf der Einstellungsseite “chrome://settings/syncSetup” unter “Verschlüsselungsoptionen”
    • Firefox verschlüsselt lokal sodass Mozilla keinen Zugriff auf die Passwörter hat
  • Immer aktuelle Browserversion nutzen
  • Trackingschutz benutzen wie Ghostery (alle Browser), Privacy Badger (Chrome und FireFox); letzterer aktualisiert automatisch seine Sperrlisten
  • Firefox hat einen eingebauten TRackingschutz, jedoch nur im private Modus. Um diesen für alle Tabs zu verwenden: about:config aufrufen und “privacy.trackingprotection.enabled” auf “true” setzen
  • Erweiterung “HTTPS Everywhere” installieren, welche alle Webseiten automatisch mit HTTPS aufruft (nur Chrome und Firefox).

Facebook

  • Zugriffsschutz verstärken:
    • Passwort von Facebook nur für Facebook verwenden
    • Anmeldewarnungen in den Sicherheitseinstellungen aktivieren
    • Anmeldebestätigung aktivieren (zwei-Faktor Authentifizierung z.B. mit Facebook App auf Handy)
  • Notfall kontakte festlegen, diese können im Notfall beim Passwort zurücksetzen helfen
  • unter Privatsphäre und “Wer kann nach mir suchen” kann man sein eigenes profil vor Google verstecken
  • Datenauswertung reduzieren durch einsatz von Trackingschutz (siehe Empfehlungen Web Browser)
  • Nervige “Freunde” auf die liste “Eingeschränkte Liste” setzen, damit sehen solche nur noch als öffentlich markierte Posts

Google

  • Zwei-Faktor Authentifzierung verwenden (SMS oder Auth-App)
  • Wiederherstellung einrichten (Optionen für Wiederherstellung)
  • Persönliche Daten sperren unter aboutme.google.com
  • PRivatsphäre sichern: ganz unten auf der aboutme Seite befindet sich ein Privatsphären Check

Wohnzimmer

  • Geräte wie TV, die Internet nicht wirklich benötigen auch nicht mit Internet verbinden
  • Sprachsteuerung wenn nicht wirklich benötigt deaktivieren
  • wer Sprachsteuerung nutzt muss wissen dass die Daten über die Cloud ausgewertet und auch dauerhauft zur weiteren Auswertung gespeichert werden.
  • Entwickleroptionen ausschalten (FireTV, Android), reduziert die Gefahr Schadsoftware zu beziehen
  • Kinderschutz aktivieren, PIN setzen
  • Datenerfassung minimieren: FireTV sammels per Voreinstellung App Nutzungsdaten, lässt sich aber in den Einstellungen deaktivieren

NAS

  • sichere Passwörter setzen
  • Aufgabentrennung:
    • greift ein TV Gerät zu, erhält dieses einen eigenen Benutzeraccount und z.B. nur READ Berechtigung
    • ein Beuntzer für PC Backups braucht kein Zugriff auf Benutzerdaten
  • Nur nötige Funktionen aktivieren:
    • Wer NAS nur im internen Netz nutz kann sich zurücklehnen
    • wer es extern verfügbar macht muss wissen, dass es bei Sicherheitslücken oft Monate bis zum Firmware dauert; deshalb Dienste
    • keinesfalls Daten für “admin” oder “root” freigeben
    • nur benötigte Apps aktivieren
    • ungewöhntliche Ports verwenden (z.B. 16483 statt 443)
  • Emails und logging aktivieren
  • Volume verschlüsselung aktivieren damit defekte / gestohlene Festplatten keine lesbaren Daten enthalten

Kennwörter

  • immer anderen PAsswort verweden, vor allem bei online Diensten
  • Passwort Manager verwenden
  • Passwort System ausprobieren (Grundpasswort merken + etwas dazu pro Seite / Applikation)
  • Papier-Backup anlegen
  • zwei-Faktor Authentifizierung nutzen

 

Windows with Chocolate(y)

Chocolatey is a Linux-apt-get-like Packet Manager for Windows that uses PowerShell. Software you’ve installed using Chocolatey can easily be upgraded at once by just starting a command like “choco upgrade all”.

Actually this is the coolest and easiest way to get control of all the Flash, Java, Acrobat and all other thousand tools on your computer.

Do I have to reinstall all my Tools?

No. Just install everything again with choco over your actual setup. This works great and is a good way to start with Chocolatey.

So tell me how

To eat the chocolate, start an elevated cmd.exe prompt and run this command (copy-paste):

@powershell -NoProfile -ExecutionPolicy Bypass -Command "iex ((new-object net.webclient).DownloadString('https://chocolatey.org/install.ps1'))" && SET PATH=%PATH%;%ALLUSERSPROFILE%\chocolatey\bin

// If you want to be sure, this command is from here: http://www.chocolatey.org

Important: choco only works in elevated promts, never try to run without elevation. But you can run choco in cmd.exe as well as powershell.exe; I recommend to use powershell because choco is based on PowerShell.

Tweaks

One important tweak is to disable the confirmation prompt. Each time you install something, choco asks for confirmation. This can get painful if you’d like to upgrade for example 20 packages at once.

To disable the prompt, run this command:

choco feature enable -n allowGlobalConfirmation

Let’s install

Now you can use choco with this parameters.

choco -?                 # help
choco install <paket>    # install
choco remove <paket>     # uninstall
choco list <suchbegriff> # search for a packet
choco upgrade all        # upgrades all installed packages
choco list -l            # shows locally installed choco packages

My favorites

Here’s my package list for all computers.

choco install 7zip AdobeAIR altap-salamander cdburnerxp GoogleChrome dropbox firefox flashplayerplugin jre8 keepass mRemoteNG notepadplusplus Silverlight skype teamviewer vlc

Other packages, that might interest you:

cdburnerxp classic-shell Firefox handbrake IrfanView iTunes lastpass thunderbird Gpg4win

And there are a lot more. Just search for it using “choco list <whatever>”.

Extend your iPhone’s Battery life

Howtogeek.com published a cool Checklist-like How-To to save some more battery power with iPhones. Based on that, here’s my own Checklist to quickly go trough the steps.

Open the Settings App to check following configuration items:

  • Disable Background Refreshing (General -> Background Refresh)
  • Disable Notifications
  • Disable Push for Mail, Contacts, Calendars (use manual refresh)
  • Disable Bluetooth until you really need it
  • Disable Location complete / on a per App basis (Privacy -> Location Services)
  • Disable Spotlight Search if you don’t need it (General -> Spotlight Search)
  • Use automatic Brightness, adjust Brightness down to save energy
  • for iPad: totally turn it off for longer periods

Original article at howtogeek.com/215850/how-to-extend-your-ipads-battery-life-when-youre-not-using-it

 

Changes in iOS 9

No, iOS 9 isn’t released yet, but there already are rumors about the new features that will come. I put all I know into this article here, to have a list of all features when iOS 9 is released. It’s always the best, if you take a minute to try all this new things once, to remember the best of them forever.

New Features:

  • Faster App Changer
  • Keyboard letters change to upper/lower letters
  • Search function in Settings App
  • detailed Battery use information
  • Call contacts directly from search function
  • Photos app allows to select many photos at once by drawing a rectangle

Full Article with Screenshots: gizmodo.com/the-best-hidden-changes-in-ios-9-in-gifs-1711575927

 

abount paging and swapping

(or Pagefiles vs. Swap / Swapfiles)

Swapfiles

Source: lkml.iu.edu/hypermail/linux/kernel/9907.2/0462.html

Linux will swap existing pages to disk on a per process basis. In principle, a process might allocate 1 Gb of buffer, but always be using the same one physical page.

Source: stackoverflow.com

The advantage of this is that it is relatively simple to grasp and memory for a program is always allocated contiguously, the downside is that performance on a machine can become absolutely abysmal when the system ends up in a state where things are constantly swapping. The algorithm also involves the repeated swapping in and out of data that will not be used in the foreseeable future.

(…)

With swapping, parts of memory which are not in use are written to disk; this enables one to run several programs whose total memory consumption is greater than the amount of physical memory. When a program makes a request for a part of memory that was written to the disk, that part has to be loaded into memory. To make room for it, another part has to be written to the disk (effectively the two parts swap places – hence the name). This “extension” of physical memory is generally known as “virtual memory”.

(…)

Modern systems use both paging and swapping, and pages are what is being swapped in and out of memory.

Pagefiles

Source: techarp.com

In contrast, paging files function by moving “pages” of a program from system memory into the paging file. These pages are 4KB in size. The entire program does not get swapped wholesale into the paging file.

While swapping occurs when there is heavy demand on the system memory, paging can occur preemptively. This means that the operating system can page out parts of a program when it is minimized or left idle for some time.

Swapfiles were used in old iterations of Microsoft Windows, prior to Windows 95. From Windows 95 onwards, all Windows versions use only paging files.

Source: helpdeskgeek.com

Windows 8 supports both paging and swapping. Paging will hold items that haven’t been accessed in a long time whereas swapping holds items that were recently taken out of memory. The items in pagingfile may not be accessed again for a long time whereas the items in swapfile might be accessed much sooner.

Conclusion

  1. “swapping” means put a whole program / process to swapspace on disk, while during “paging” only pages of memory are put onto disk (page = 4kb)
  2. because of its granularity, paging is often more efficient than swapping out the whoule process
  3. both mechanism can lead to performance degradation because content must be read out of multiple time slower disk storage instead of memory
  4. Windows 8 has both, pagefile and swapfile; the c:\swapfile.sys is used for the apps only

Deploy ONE Certificate to MANY user’s personal cert store

Problem

Using Group Policies, you can import Certificates of Root Authorities or other Trusted Certificates. It’s also possible to use auto enrollment to deploy Certificates to Users, if an internal enterprise CA is used to handle the requests. But you cannot deploy one single standalone Certificate with private key to many users.

Solution

This can only be done using a script, ran using GPO’s or in an existing login script – if there’s still one in place.

Code

Use this command to import a PKCS#12 file (*.pfx or *.p12) into user’s Personal Certificate store.

certutil -importpfx -f -user -p "test" test.p12 NoRoot

Put your private key’s passwort after Parameter “-p”; in my example, the password was “test” and the PKCS#12 file is called test.p12.