Aber ich habe doch gar kein Konto bei der Kreissparkasse...
Immer dann, wenn mir langweilig ist, schaue ich mal in den Spamordner. Neulich trudelte eine recht gut gemachte Mail rein, die von der Kreissparkasse zu stammen scheint. Allerdings mit zwei entscheidenden Fehlern: Weder habe ich ein Konto bei dieser Bank, noch heiße ich so, wie ich in der Mail angesprochen werde. Von der Absenderadresse, die nicht gefälscht war über die Metadaten der Mail (Hearder usw.) oder die Links, auf die darin verwiesen wird, will ich gar nicht erst anfangen:
Also gut, nach dem Klick auf "Weiter zur Kontrolle" geht es weiter im Browser:
Im weiteren Verlauf habe ich mal ein paar Phantasiedaten eingegeben, die auf den ersten Blick genau so plausibel erschienen wie diese Phishing Webseite und den ganzen Registrationsprozess durchlaufen.
Das Ende vom Lied:
Ein wiederholter Aufruf der Seite ist dann nicht mehr möglich, weil die Tracking Url, die durch das Anklicken des "Weiter zur Kontrolle" in der oben genannten email gesetzt wurde, eindeutig mit der Mailadresse an die die Mail ging, verbunden war. Mehr brauchten die Scammer nicht, um durch die Befragung Online-Banking-Zugangsdaten, Geburtsdatum, Telefonnummer sowie die Daten der Sparkassen-Card zu erfahren. In meinem Fall mit fiktiven Daten. Bis auf die Telefonnummer des BKA, die ich zur schnelleren Bearbeitung eventueller Nachfragen angegeben habe...
#noIMK: Ihre Sicherheit ist nicht unsere Sicherheit
In den letzten Jahren haben viele Menschen erfahren, was es bedeutet, wenn der Staat für mehr „Sicherheit“ sorgt: Zunehmende Ausweitung von Polizeibefugnissen und eine erhöhte Präsenz in der Öffentlichkeit, mehr Racial Profiling, härtere Asylgesetze und ansteigende Kriminalisierung von Klimaaktivist:innen und Antifaschist:innen.
... Unterschiedliche Fälle, die doch Gemeinsamkeiten haben. Die Handlungsräume derjenigen, die diese wirtschaftlichen und politischen Verhältnisse infrage stellen und Menschen, die aufgrund von Herkunft oder Aussehen ausgegrenzt und unterdrückt werden, da sie angeblich nicht „ins System passen“, werden durch staatliche Maßnahmen immer weiter eingeschränkt. Durch Überwachung und Kontrolle werden uns die letzten selbstbestimmten Räume genommen.
Die Innenminister:innenkonferenz (IMK) ist für diese Entwicklungen verantwortlich. Als zentrale Schnittstelle der Innenministeriinnen der Länder und des Bundes wird dort ein bundesweit ähnliches Vorgehen koordiniert und über die inländische Sicherheitslage beraten. Vom 1. bis 3. Dezember findet die IMK hier in Stuttgart statt.
Was beschließen die Innenminister:innen und in welchem Interesse handeln sie?
Sie weiten die Überwachung aus. Ohne, dass wir es mitbekommen, können unsere Laptops und Smartphones überwacht und abgehört werden. Ein richterlicher Beschluss wird dafür nicht benötigt. Immer mehr unserer Daten werden grundlos und ohne unser Wissen ausgelesen und gespeichert.
Sie kriminalisieren Protestbewegungen, wie die erstarkende Klimabewegung. Dazu wurde in NRW ein passgenaues Versammlungsgesetz gefertigt, welches beispielsweise das Tragen von Maler:innen-Anzügen bei Protesten wie „Ende Gelände“ als „Uniformierung“ betrachtet und unter Strafe gestellt. Obwohl klar ist, dass die Folgen der Klimakrise verheerende Auswirkungen haben werden, geht der Schutz der Konzerninteressen der Braunkohleindustrie vor.
Sie verschärfen die Polizeigesetze. In Baden-Württemberg und Bayern darf die Polizei seitdem Handgranaten und Sprengstoff gegen Personen einsetzten und durch die Einführung des undefinierten Begriffs „drohende Gefahr“ hat die Polizei die Möglichkeit vorbeugend DNA-Analysen zu nehmen oder „Gefährder:innen“ tagelang in Präventivhaft zu stecken - ganz ohne richterlichen Beschluss und weit im Vorfeld einer „Gefahr“. Mit solchen Möglichkeiten werden Sicherheitsbehörden befugt, die durchsetzt sind von rechten Netzwerken, welche Waffen und Munition horten und Todeslisten von Linken anfertigen.
Sie betreiben rassistische Abschottungspolitik gegen Geflüchtetete und sorgen für mehr und für leichtere Abschiebungen. Beispielsweise durch die Einführung einer Koordinierungsstelle für Sammelabschiebungen oder durch die Aufrechterhaltung von Grenzkontrollen an der Grenze zu Österreich.
Ein anderer Ausdruck ihrer rassistischen Politik sind die Vorstöße nach einer systematischen Abschiebepraxis nach Syrien bei der letzten IMK diesen Sommer in Rust. Deutschland sorgt durch Kriege und imperialistische Politik selbst dafür,
dass Menschen zur Flucht gezwungen werden. Die Antwort der Innenminister:innen darauf lautet Abschiebung in Kriegsgebiete, Aufrüstung der Grenzen, mehr Kontrolle und Überwachung.
Diese Flut an neuen Maßnahmen passiert nicht zufällig: Der Staat und die Innenminister:innen brauchen sie, um die bestehende Gesellschaftsordnung aufrechtzuerhalten und zu schützen. Eine Gesellschaftsordnung die zunehmende soziale Ungleichheit erzeugt, die eine Klimakatastrophe produziert hat, die Kriege hervorruft und damit Millionen Menschen zur Flucht zwingt. Gerade die Pandemie hat gezeigt, dass nur wenige Reiche von diesem System profitieren, während wir - die Mehrheit der Gesellschaft - die Lasten der Krise tragen müssen, sei es durch Überstunden, Kurzarbeit oder steigende Lebenshaltungskosten.
Im Kapitalismus können diese Probleme nicht gelöst werden. Der gesellschaftliche Unmut darüber wächst und gleichzeitig entsteht die Möglichkeit für das Aufkommen größerer sozialer Proteste. Das ist auch den Innenminister:innen bewusst - und sie reagieren schon präventiv mit mehr Überwachung, Kriminalisierung und Repression. Auch wenn wir von einer sozialen Massenbewegung weit entfernt sind, schafft sich der Staat jetzt schon die materiellen und rechtlichen Grundlagen, um bei möglichen Aufständen schnell eingreifen zu können. Innere Militarisierung und die Ausweitung der Polizeibefugnisse sind notwendige Stützpfeiler, die den Erhalt des Systems gewährleisten sollen.
Die Innenminister:innen handeln nicht in unserem Interesse, sondern im Sinne eines Systems, das durch Konkurrenz und Profitzwang immer wieder Krisen erzeugt –” und wir müssen die Kosten bezahlen. Ihre Überwachung, Kontrolle und Repression betrifft uns alle, also lasst uns auch alle gemeinsam auf ihre Verschärfungen antworten: mit vereinten Protesten gegen die IMK, mit dem Aufbau einer starken Bewegung von unten und mit der Perspektiven einer solidarischen Gesellschaft ohne Ausbeutung, Rassismus und Klimazerstörung. Denn das ist unsere Sicherheit.
Beteiligt euch an den Protesten gegen die IMK!
Demonstration am 3. Dezember 2021 17:00 Uhr
Eckensee (Stuttgart)
#noIMK
#nichtunsereSicherheit
Weitere Informationen zu Aktionen rund um die IMK: www.noimk-stuttgart.org
32 Jahre Rote Flora
Vor 32 Jahren, am 1. November 1989 wurde die Reste des Flora Theaters am Schulterblatt besetzt. Einen ausführlichen Zeitstrahl zu den Ereignissen rund um die Rote Flora gibt es auch auf der Webpage. Eine lohnende Adresse ist natürlich auch das Archiv der sozialen Bewegung welches in der Flora beheimatet ist. Zur Geschichte der Roten Flora wurde 2009 zum damaligen 20jährigen Geburtstag der Flora ein FIlm erstellt.
Quelle: radicalpast
pfsense: pihole mit pfBlocker NG (fast) arbeitslos machen.
Nur ein kurzer Bookmark für eine ausführliche Anleitung, wie mittels dem pfBlocker NG Plugin Werbung usw. direkt an der Firewall blockiert werden kann. Noch etwas weiter geht dieser Beitrag, der auch beschreibt, wie mittels Zugriffslisten Angriffe oder Scans auf die Firewall blockiert werden können. Zusammen mit Browserplugins wie ublockorigin ergeben sich dann endlich Werbefreie Seiten.
Für kleinere Netze wäre ein derart komplexes Konstrukt Overkill, hier empfiehlt sich piHole, gerade auch in Verbindung mit einem VPN.
Heute: Welttag für Sicherheit und Gesundheit am Arbeitsplatz
Heute ist der Welttag für Sicherheit und Gesundheit am Arbeitsplatz. Aus dem Grunde zeigen wir heute nochmal den wichtigen Lehrfilm "Staplerfahrer Klaus" von der Arbeitsgemeinschaft Flurförderfahrzeuge.
Roborock S5 Max und Firewalls
Wenn man alles verbietet, was nicht erlaubt ist, machen manche Apps oder Smarthomegadgets Probleme. So auch unser Roborock S5 Max, der nach dem Hinzufügen einiger Geoblocking IPs in der FireWall seine Karte nicht mehr findet. Klar, denn das Teil kommt bekanntlich aus dem Reich der Mitte und bei allen derartigen Geräten spioniert Xiaomi, der Mutterkonzern von Roborock im Auftrag von Maos Erben, dem ZK der KPCh meine Dissidentenwohnung aus. Oder so ähnlich, weshalb viele der Blockierlisten, die im Lande des natürlichen Gegners des Reiches Modor, den USA, gepflegt werden, hemmungslos am besten gleich die chinesische Toplevel Domain blockieren.
Nun ist ja nicht jeder Vorwurf an die Chinesen so falsch wie die Behauptung, daß die USA dergleichen selber niemals tun würden. Deshalb ist es eine gute Idee, nur die unbedingt notwendigen Quelle / Zieladressen und Ports in der Firewall zu öffnen.
Das betrifft im Falle des S5Max folgende Urls:
data.mistat.xiaomi.com fr.app.chat.global.xiaomi.net s3-eu-west-1.amazonaws.com
sowie den UDP Port 8053 für die folgenden IP Adressen:
3.122.217.21 3.124.122.199 52.28.26.121 52.57.224.199
Für die XiaoMiHome sowie die Roborock App: Die TCP Ports 6668 (XiaoMiHome) 8883 (Roborock) für die folgenden Adressen:
122.0.0.0 18.194.10.142 18.196.142.136 18.197.183.192 3.121.141.195 3.122.208.21
Ein anderer Ansatz wäre das Whitelisten der Adressen, im Gegensatz zum gezielten Öffnen bestimmter Ports für bestimmte Quell und natürlich nur für die in einem separaten Zielnetz arbeitenden Geräte. Letzteres erscheint mir jedenfalls sinnvoller, da durch das Whitelisten die Adressen auf alle Rechner im lokalen Netzwerk chinesische Reklame kommen würde.
Mini-HowTo: Green Cell® UPS USV mit Nagios überwachen
sudo apt install nut
Irgendwelche Abhängigkeiten sollten natürlich aufgelöst werden. Danach editieren wir die Datei /etc/nut/ups.conf und fügen am Ende folgende Definition für die GreenCell UPS ein:
[GreenCell] driver = "blazer_usb" port = "auto" desc = "GreenCell USV 600VA"Die Datei /etc/nut/nut.conf editiert man dann entsprechend dem Verwendungszweck (Standalone/Netzserver/-client)
# Network UPS Tools: example nut.conf # ############################################################################## # General section ############################################################################## # The MODE determines which part of the NUT is to be started, and which # configuration files must be modified. # # This file try to standardize the various files being found in the field, like # /etc/default/nut on Debian based systems, /etc/sysconfig/ups on RedHat based # systems, ... Distribution's init script should source this file to see which # component(s) has to be started. # # The values of MODE can be: # - none: NUT is not configured, or use the Integrated Power Management, or use # some external system to startup NUT components. So nothing is to be started. # - standalone: This mode address a local only configuration, with 1 UPS # protecting the local system. This implies to start the 3 NUT layers (driver, # upsd and upsmon) and the matching configuration files. This mode can also # address UPS redundancy. # - netserver: same as for the standalone configuration, but also need # some more network access controls (firewall, tcp-wrappers) and possibly a # specific LISTEN directive in upsd.conf. # Since this MODE is opened to the network, a special care should be applied # to security concerns. # - netclient: this mode only requires upsmon. # # IMPORTANT NOTE: # This file is intended to be sourced by shell scripts. # You MUST NOT use spaces around the equal sign! MODE=standalone
Auf dem Server wird Nagios am besten aus den Quellen installiert, viele Plugins und auch das Programmpaket selber liegt meistens in recht hm... veralteten Versionen vor. Ich verweise hier mal auf ein recht aktuelles HowTo. ^^
Sobald Nagios läuft, stricken wir uns einen Befehl zum Ansprechen der UPS zusammen und editieren dazu die Datei /usr/local/nagios/etc/objects/commands.cfg
# UPS Check # # define command { command_name check_ups command_line $USER1$/check_ups -H $HOSTADDRESS$ -u GreenCell }
Wie man unschwer erkennen kann, bezieht sich der Befehl in der vorletzten Zeile auf das in der Datei /etc/nut/ups.conf definierte Gerät. Dieser Befehl kann nun in beliebigen Serverkonfigurationen, die Nagios überwacht, angewendet werden. Wir richten nun aber erst einmal die Nagios Konfiguration des Clients ein, der durch die USV versorgt wird und editieren dazu eine neue Datei, in dem Fall nennen wir sie einfach /usr/local/nagios/etc/servers/client.lan.cfg
(...) define service { use local-service host_name client.lan service_description GreenCell UPS check_command check_ups!-H client.lan -u GreenCell
Ab diesem Zeitpunkt sollte der Status der UPS abgefragt werden können. Welche Werte genau abgefragt werden können ist natürlich von der jeweiligen UPS abhängig und welche Werte von Belang sind. Wie bei den meisten anderen Nagios Plugins können auch bei check_ups die möglichen Parameter durch einen Aufruf auf den Kommandozeile abgefragt werden. Hier man ein wenig Copy & Paste:
nagiosuser@server.lan:/usr/local/nagios/libexec# ./check_ups -h check_ups v2.3.3 (nagios-plugins 2.3.3) Copyright (c) 2000 Tom Shields Copyright (c) 2004 Alain Richard <alain.richard@equation.fr> Copyright (c) 2004 Arnaud Quette <arnaud.quette@mgeups.com> Copyright (c) 2000-2014 Nagios Plugin Development Team <devel@nagios-plugins.org> This plugin tests the UPS service on the specified host. Network UPS Tools from www.networkupstools.org must be running for this plugin to work. Usage: check_ups -H host -u ups [-p port] [-v variable] [-w warn_value] [-c crit_value] [-e] [-to to_sec] [-T] Options: -h, --help Print detailed help screen -V, --version Print version information --extra-opts=[section][@file] Read options from an ini file. See https://www.nagios-plugins.org/doc/extra-opts.html for usage and examples. -H, --hostname=ADDRESS Host name, IP Address, or unix socket (must be an absolute path) -p, --port=INTEGER Port number (default: 3493) -u, --ups=STRING Name of UPS -T, --temperature Output of temperatures in Celsius -e, --extended-units Allow nonstandard units in performance data (used for voltage and temperatures) -v, --variable=STRING Valid values for STRING are LINE, TEMP, BATTLEFT, BATTPCT or LOADPCT -w, --warning=DOUBLE Response time to result in warning status (seconds) -c, --critical=DOUBLE Response time to result in critical status (seconds) -t, --timeout=INTEGER: Seconds before connection times out (default: 10) Optional ":" can be a state integer (0,1,2,3) or a state STRING This plugin attempts to determine the status of a UPS (Uninterruptible Power Supply) on a local or remote host. If the UPS is online or calibrating, the plugin will return an OK state. If the battery is on it will return a WARNING state. If the UPS is off or has a low battery the plugin will return a CRITICAL state. Notes: You may also specify a variable to check (such as temperature, utility voltage, battery load, etc.) as well as warning and critical thresholds for the value of that variable. If the remote host has multiple UPS that are being monitored you will have to use the --ups option to specify which UPS to check. This plugin requires that the UPSD daemon distributed with Russell Kroll's Network UPS Tools be installed on the remote host. If you do not have the package installed on your system, you can download it from http://www.networkupstools.org Send email to help@nagios-plugins.org if you have questions regarding use of this software. To submit patches or suggest improvements, send email to devel@nagios-plugins.org
Eine am Server abgesetzte Anfrage ergibt in unserem Fall:
nagiosuser@server.lan:/usr/local/nagios/libexec# ./check_ups -H prusapi.lan -u GreenCell UPS OK - Status=Online Utility=230,0V Batt=100,0% Load=4,0% |voltage=230,000000;;;0,000000 battery=100,000000%;;;0,000000;100,000000 load=4,000000%;;;0,000000;100,000000
Nagios verwertet diesen Schnipsel so:

Einige Links in diesem Beitrag sind Vorschläge / Einkaufsquellen und sog. Affiliatelinks. Wenn Du etwas über diesen Link kaufst, erhalten wir eine kleine Provision. Der Preis für Dich bleibt derselbe. Vielen Dank für Deine Unterstützung.
Some of the links are suggestions for parts to replicate the thing and affiliate. If you buy something, I get a small commission. The price you pay is the same. Thank you very much.
pihole: Ein wenig Statistik
Ein wenig Nerdkram Folklore mit Pi-hole v5.2.1 Web Interface v5.2.1 FTL v5.3.2 und dem blockierten Werbekram. Bei über 3 Millionen Domains in der Blockliste sind 43% blockiere Anfragen schon krass...
Mini HowTo: OpenDKIM für Postfix installieren
Foto: Lourdes Cardenal, CC BY-SA 3.0, via Wikimedia Commons
Da es einige Stolperfallen bei der Einrichtung gibt, die das korrekte Funktionieren verhindern können, habe ich mir ein kurzes und rudimentäres HowTo verfasst:
Das Szenario: Alle Mails der Doman domainname.de sollen signiert werden. Alle eingehenden Mails sollen verifiziert werden. Wir haben Zugriff auf Nameservereinträge der Domain und ein Postfix Server sowie Amavis und Spamassassin verrichten ihren Dienst auf einem debian System. Den DKIM Dienst soll openDKIM übernehmen, das wir gleich mal in einem Terminal zusammen mit ein paar Tools installieren:
sudo apt install opendkim opendkim-tools
Dann legen wir ein Schlüsselverzeichnis an und generieren den Schlüssel. Wichtig ist die korrekte Rechtevergabe in den Schlüsselverzeichnissen! Zudem sollte der Dienst nicht als root laufen sondern unter dem User opendkim. Dieser darf in keiner anderen Gruppe Mitglied sein, ansonsten quittiert der Dienst den selbigen mit einer Fehlermeldung.
mkdir /etc/opendkim/keys/domainname.de /usr/bin/opendkim-genkey -D /etc/opendkim/keys/domainname.de/ -d domainname.de -s 2020 chown -R root:opendkim /etc/opendkim/keys/domainname.de chmod 640 /etc/opendkim/keys/domainname.de/2020.private chmod 644 /etc/opendkim/keys/domainname.de/2020.txt
Im Anschluss bearbeiten wir die /etc/opendkim.conf:
Domain domainname.de Selector 2020 # Das ist der im vorigen Schritt angegebene Selector. Interessant für diejenigen, die den DKIM Key regelmäßig aktualisieren. KeyFile /etc/opendkim/domainname.de/2020.private Socket inet:8891@localhost Canonicalization relaxed/simple # Auf Headermodifikationen nicht gleich allergisch reagieren Mode sv # Mails [s]ignieren und [v]erifizieren
Wir starten den Dienst: sudo systemctl restart opendkim und regeln, daß der Dienst beim Systemstart gleich gestartet wird: systemctl enable opendkim. Dann befassen wir uns mit der Integration von openDKIM in Postfix. Dazu editieren wir die /etc/postfix/main.cf:
smtpd_milters = inet:localhost:8891 non_smtpd_milters = $smtpd_milters
Danach muss Postfix diese Änderung bekannt gegeben werden: sudo systemctl reload postfix.
Das war es im Grunde dann auch schon. Bis auf eine Kleinigkeit: Die Integration des Schlüssels als TXT Record im Nameservereintrag von domainname.de. Diese Einstellung unterscheidet sich von Provider zu Provider, daher an der Stelle auch nur der allgemeine Hinweis:
Record Name | Record Type | Text |
mail._domainkey | TXT | v=DKIM1; k=rsa; p=MI.. (Hier Inhalt von /etc/opendkim/keys/domainname.de/2020.txt einfügen, dabei alle >"< entfernen und alle Zeilen nach p= in einen Schlüssel ohne Leerzeichen verbinden.) |
Das korrekte Eintragen des Schlüssels kann kompliziert sein, vor allem der Teil nach "p=" darf weder um- noch unterbrochen sein. Ansonsten wird der Schlüssel nicht erkannt!
Testen des Keys:
# opendkim-testkey -d domainname.de -s mail -vvv opendkim-testkey: using default configfile /etc/opendkim.conf opendkim-testkey: checking key 'mail._domainkey.domainname.de' opendkim-testkey: key not secure opendkim-testkey: key OK
Sofern keine Fehlermeldungen auftreten, kann man sich nun darum kümmern, eingehenden Spam weiter zu filtern. In Amavis ist der DKIM Filter in einigen Debian Derivaten deaktiviert, lässt sich aber einfach aktivieren. Dazu muss in der Konfigurationsdatei /etc/amavis/conf.d/20-debian-defaults folgender Parameter gesetzt werden:
$enable_dkim_verification = 1;
In der Datei /etc/amavis/conf.d/50-user muss für eine erweitere Anzeige der Überprüfungsergebnisse dann als letztes noch folgender Parameter gesetzt werden:
$allowed_added_header_fields{lc('Authentication-Results')} = 1;
Im täglichen Mailverkehr empfiehlt sich darüber hinaus ein Addon für den freien Mailclient Thunderbird zur Kontrolle der empfangenen Mails: Den DKIM Verifier. Dieses Addon überprüft beim Öffnen einer Mail die Gültigkeit der Signatur. Somit kann man sich (halbwegs) sicher sein, daß die Mail vom signierenden Mailserver stammt. Natürlich nutzen auch einzelne Spammer DKIM. "Es ist wichtig zu beachten, dass eine E-Mail durch eine beliebige Domain signiert seinen kann. Eine gültige Signatur alleine ist daher kein Hinweis auf eine vertrauenswürdige E-Mail. Um zu entscheiden ob eine E-Mail vertrauenswürdig ist sollte immer überprüft werden wer der Signierende ist! In einigen Fällen kann die Abwesenheit einer DKIM Signatur nützlich sein um betrügerische E-Mails zu erkennen. Falls bekannt ist, dass eine Domain alle ihre E-Mails mittels DKIM signiert, ist das Nichtvorhandensein einer DKIM Signatur ein starker Hinweis auf eine gefälschte E-Mail." (Aus der Addon Beschreibung)
Quellen:
debianwiki, Steven Jenkins, Michael Kofler, WikiPedia, Philippe Lieser, Patrick Koetter