Einblicke in (Security)-Themen ausm tiefen Wald

Kategorie: Sonstiges

Benachrichtigung über neue Version von Google Chrome Enterprise

Auch wenn das Thema off-topic hier erscheint. Es gibt noch zahlreiche Nutzer, die bewusst die automatische Aktualisierung von Google Chrome (Enterprise) bewusst deaktiviert haben. Um beispielsweise mittels Test-Pilot-Gruppen die vorhandenen Applikationen, die den Chrome nutzen, auf mögliche Probleme zu testen.

Natürlich gibt es mittlerweile auch Google Chrome GPO Templates, um hier das Patchmanagement anzugehen. Um hier aber einfach nur herauszufinden, ob es eine neue Version gibt, um den Pilotgruppen eine neue Version zur Verfügung zu stellen, steht man dann recht schnell vor einem Problem.

Denn es gibt keinen RSS-Feed oder sonstige APIs, um ein Update mitzubekommen. Sicherlich findet man einen Feed wie diesen hier (Link). Aber im Fließtext automatisiert nach neuen Versionen zu scannen, macht keinen Spass.

Auch alle Fragen bei stackoverflow und Co. geben einem keinen Hinweis auf eine Möglichkeit (Beispiel , Beispiel)

Wer länger gräbt, kommt dann zu einer Seite, die genau diese Problem angeht und löst. Die jeweils aktuelle Version ist als Text-String abrufbar (wget, curl, etc.) in Verbindung mit einem kleinen Script könnte es also problemlos ermittelt werden, ob es eine neue Version gibt.

Schaut daher einfach selbst einmal rein unter: Google Chrome Enterprise New Version Notification

Folgende Optionen werden angeboten:

  • Aktuelle/Neueste Version als String: Latest
  • Letzte Version davor als String: Last
  • Alle Versionen als Historie abgebildet in Form eines JSON-Objektes: JSON

Sicherer Austausch von Passwörtern

Wie tauscht man auf sicherem Wege die Passwörter aus? Das Thema ist vermutlich älter als die Geschichte und Bau der Pyramiden. Aber ehrlicherweise muss man zugeben, dass es oft nur sehr komplexe Lösungen gibt, um das sicher gewährleisten zu können. Vor allem wenn es um komplexe Passwörter geht.

Wir nähern uns mal vorsichtig dem Thema.

Man verschlüsselt Informationen und nutzt dazu symmetrische Verfahren, so dass die Verschlüsselung und Entschlüsselung mit dem gleichen Passwort erfolgt.

Sicherlich kann man auch Verfahren wie RSA (asymmetrisch) nutzen, aber Tante Berta von nebenan wird damit nicht usability-technisch abgeholt werden.

Somit braucht man dann “nur” noch den Austausch des geheimen Schlüssels vorzunehmen, auch neudeutsch Passwort genannt. Hier gibt es dann die typischen Verfahren wie “erste Mail das verschlüsselte Element, zweite Mail den Schlüssel”. Natürlich ist das maximal unsicher, da die gleichen Kanäle verwendet werden. Also macht man eine Teilung. Ein Kanal (Mail) das verschlüsselte Element, und auf dem zweiten Kanal dann den Schlüssel.

Und da wären wir auch schon. Nutzt man jetzt hier einen Messenger wie WhatsApp, Teams, SMS, etc., so ist es zwar ein zweiter Kanal, aber “wer schreibt, der bleibt”. Will heißen: bei einer Kompromittierung wäre auch der Messenger betroffen. Also wirkliche Sicherheit ist es somit nicht.

Nun könnte man ja Tools nehmen wie “Password Pusher” (Link). Per “one link one click” erhält man dann das Passwort nach dem Motto “burn after reading”. Ist zwar sicher, aber irgendwo nicht soo komfortabel. Denn man muss ja wiederum ein System vorhalten und das Passwort reinkopieren, Link erzeugen und dann wieder per Mail verschicken. Kostet Zeit und ist nicht fehlerfrei.

Bleibt also nur das persönliche Gespräch per Telefon (von mir aus auch Teams oder WhatsApp). Um jetzt aber hier nicht das Passwort buchstabieren zu müssen (Krise!), vor allem bei langen und komplexen Passwörtern, wäre es doch eine tolle Idee eine gemeinsame Plattform für so etwas zu haben. Sprich: beide Besucher sehen die gleiche Seite und wählen gemeinsam per Telefon das gleiche Passwort aus.

Und sowas gibt es hier: Agree on password

Jede Stunde aktualisiert sich die Seite automatisch und man kann gemeinsam per Telefongespräch auf die Seite gehen und vereinbaren welches der 24 dort angezeigten Passwörter man verwendet.

In meinen Augen eine coole und schnelle Lösung. Da es keinerlei Registrierung bedarf, ist man anonym und kann komfortabel sichere Passwörtern austauschen.

Aktuelle DNS-Einträge im Cache unter Windows

Möchte man sich die aktuell aufgelösten Einträge mit ihrer TTL unter Windows anschauen, so gibt es dazu direkt einen Befehl, der einem diese Informationen auf der Windows-Konsole liefert, wie folgt:

ipconfig /displaydns

“Wer bin ich?” auf der Windows-Konsole

Braucht man schnell die Basis-Informationen wie Benutzernamen und Gruppenzugehörigkeiten, so lockt dazu der Befehl whoami unter der Windows-Konsole mit allen nützlichen Infos. Die wichtigen Befehle sind:

whoami

whoami /upn

whoami /fqdn

whoami /user

whoami /groups

whoami /all (meist zuviel des Guten)

Kerberos Tickets anzeigen

Wenn du wissen möchtest, welche Berechtigungen gerade auf einem Windows-Endpunkt bestehen, kannst du die Kerberos-Tickets anzeigen lassen. Das kann dir helfen festzustellen, ob eine Authentifizierung erfolgreich war oder nicht.

Der Befehl auf der normalen Windows-Konsole (CMD.EXE) ist recht einfach:

klist

Damit erhält man dann alle aktiven Sessions auf einer Maschine, und das sieht dann aus wie folgt:

Präsentiert von WordPress & Theme erstellt von Anders Norén