he‎ > ‎

security

Heinrich Elsigan

Heinrich Elsigan Jul 2011 - Jan 2012 Google+




Heinrich Elsigan Jan 18, 2012 Google+

Google Mail shows original SMTP header only to account owner,
but Google Groups keeps NNTP-Posting-Host public for everyone (anonymous):
https://groups.google.com/group/at.linux/msg/6953f4a56feaf94f?dmode=source&output=gplain
GoogleShowYouTheOrigSMTPMessage.png


Heinrich Elsigan Jan 18, 2012 Google+

Howto increase VPN security, when you only need remote desktop or remote login sessions? 

Example: When your office OS is Win2008, 
VPN clients on bootable write protected memory sticks or CDs/DVDs with a special prepared linux OS can enhance security.  (You can easy clone or customize a live cd and change the certificate / password all 2 months)  

You might even prepare a live cd for android: 
http://code.google.com/p/live-android/wiki/howtouse 
or boot a special image from sdcard, but remember, that an image on sdcard isn't write protected.  
 USB Memory Stick with write protection


Heinrich Elsigan Dec 06, 2011 Google+

Google 2-Step Auth
Interesting (for me until now unknown) features of Google Authenticaton using 2-step verification, that I learned in exchange with +Dominik Amon+Dominik demonstrates on his Weblog, that it's possible to use 2-Step Authentication with multiple-accounts on the same android phone. 
Very useful, if you are Mailadmin of a non profite organisation, where dns domain and MX hosted with Google Apps and uses Google cloud (mail) services. For non android devices I don't know, if it works. I always know, that Google 2-Step Authenticaton works on Android or with SMS on at least every phone. I didn't know this:
If you would like to run Google Authenticator on your Windows Phone, Jamie Garside has developed Authenticator.
If you would like to run Google Authenticator on your webOS device, Greg Stoll has developed GAuth.
If you would like to run Google Authenticator on your Symbian device, or any device that supports Java ME, Rafael Beck has developed lwuitgauthj2me.Alternatively, Rodrigo A. Diaz Leven has developed gauthj2me.
Dec 08, 2011


Heinrich Elsigan Aug 24, 2011 Google+

Zum Anonymous GEMA Hack:
https://plus.google.com/113324892208183413310/posts/hFN49qS6vrC

Immer eine wiederkehrende Tragikkomödie:
http://img6.imagebanana.com/img/y9w4hc23/calvin.png

Anno 1992-1999 hatten Admins noch genug Zeit und Budget:
Security und Penetration Tests angekündigt oder unangekündigt mit Tools wie COPS
http://en.wikipedia.org/wiki/COPS_(software) oder
SATAN http://de.wikipedia.org/wiki/Security_Administrator_Tool_for_Analyzing_Networks, später SAINT waren regelmäßig möglich.
Lesen von Security Newsgroups oder Dokumentationen war nicht verpönt!
Externe Sicherheitsfirmen zur Kontrolle einzuladen, wurde meistens (mit Maß und Ziel) genehmigt.
Auch Raum für Ideen (und teilweise Umsetzung) von Monitoring, Tracing, Tracking, Intrusion Detection, honeypots, automatic alerts via SMS, etc. war vorhanden.

Kurz vor dem Millennium materialisierte sich langsam die Idee, dass eine Person als hostmaster, webmaster, postmaster, backup operator, dbadmin, netzwerktechniker, firewall techniker, client und printer operator vollkommen reicht.
"Ideen, wie intrusion detection, honeypots sind eher Science Fiction und Nagios ist nur ein Mailspammer, der 256 Mails am Tag verschickt, wo keiner genau weiß, was sie bedeuten."
"Jeder Langzeitarbeitslose kann in 2 Jahren zum Teilzeitadmin umgeschult werden kann, wenn er durchschnittliche Intelligenz und etwas Willen mitbringt."
"Wieso brauchen wir mehr als ein Monitoring System für die ganze Firma. Das kann nur ein Schmäh sein, dass wir 100 Tools (Anmerkung watchdog, mrtg, nagios, webalizer, awstats, traffic monitor, ad monitor, filesystem monitor, ...) brauchen und noch zusätzlich Zeit für LogFiles Überprüfung als regelmäßige Tätigkeit da sein muss!"

Michael Hein
Lol. So is es. Jeder der Windows schreiben kann ist Administrator und vollkommen ausreichend.Aug 24, 2011Aug 24, 2011
Posting war bisserl ätzend.
Hoffnung für ReProfessionalisierung der Admins sah ich in eurer (meiner letzten) Bude.
Das war revival/reincarnation/resurrection des god old admin styles:
"Immer freundlich bestimmt restrektiv", bei zig special Anfragen am Tag und natürlich hält JEDER sein aktuelles Anliegen (aus seiner Sicht) für SUPER WICHTIG!
Reflektiert betrachtet waren
10% meiner stressigen Anfragen wirklich wichtig,
20% waren wichtig, weil die Projektleitung sie so priorisierte,
30% waren wichtig weil ich mich wichtig machte und glaubte das ist jetzt wichtig,
40% erschienen allen Beteiligten aus dem Kontext heraus irgendwie wichtig.


Heinrich Elsigan  Aug 01, 2011 Google+

Erschreckendes Wachstum: iframe willysy site:at - Google-Suche http://www.google.at/search?q=iframe+willysy+site:at&sa=N&filter=0


Heinrich Elsigan  Aug 01, 2011 Google+

If not rooted, you could never find out what's preinstalled on your device and what's going on, on the other side, rooted android is more vulnerable to certain form of attacks=>
so choose your poison!

In Anlehnung an SuSe 7.[1-3], wer sich noch erinnert:
FW_ALLOW_FW_SOURCEQUENCH="yes"
If set to yes, the firewall will notice when connection is choking, however on the other side, this opens yourself to a denial of service attack. Choose your poison!


Heinrich Elsigan  Jul 27, 2011 Google+



Heinrich Elsigan Jul 25, 2011 
Google+

Search possible html injected webpages in austria with Google:

govermental subdomain gv.at:

academic subdomain ac.at:

organisation subdomain or.at:

companies subdomain co.at:

all other subdomains of toplevel domain .at:


Heinrich Elsigan Jul 15, 2011 Google+
Überlegung zum Thema Cloud email sercurity: cloud email security | heinrichelsigan
 Cloud email security 

 Heinrich Elsigan Jul 13, 2011 Google+

Does cat /dev/vcs*1 work on rooted andoid?