mobileMacs

Bekanntermassen lief das Plugin GPGMail, das GPG in Mail.app unter Mac OS X integriert, unter Leopard nicht mehr. Zwar wurde vom Entwickler baldige Behebung des Problems angekündigt, aber es dauerte dann doch eine Weile, bis sich was tat.

Eine erste Betaversion, die ein paar Wochen nach dem Release von Leopard, funktionierte zumindest bei mir gar nicht, so dass ich für eine Weile vollkommen ohne PGP-Support da stand.

Am 24. März kam allerdings eine weitere Version (d52) von GPGMail (Download) heraus, die bei mir seitdem problemlos funktioniert. Ich wollte das eigentlich auch damals schon bloggen, aber habe es irgendwie verduselt. Jetzt hole ich das aber mal nach, da ich darüber in der letzten Zeit in den Mac-Newslandschaft wenig bis nix zu gelesen habe.

Eigentlich ist es schade, dass das GPG-Projekt die Integration ihrer Software auf populären Systemen so nachlässig behandelt. Die Annahme, freie Software sollte nur in Kombination mit anderer freier Software funktionieren, halte ich für einen Fehler.

Gleich auf zwei Laptops – einer mit 10.4.11, einer mit 10.5.1 – kam gleichzeitig folgender Dialog hoch:

Danach ist die WLAN-Verbindung sofort weg und man muss manuell wieder in das Netz zurückgehen. Bei dem Netz handelte es sich um ein WPA-gesichertes 802.11g WLAN, das von einer Fritz!Box bereitgestellt wurde.

Hat jemand eine Ahnung, wodurch das hervorgerufen wird? In den Logfiles habe ich nichts gefunden, was darauf hinweisen könnte, was hier die Ursache ist.

Es gibt ein paar Firmen im Mac-Universum, die beeindrucken mich nachhaltig. Eine davon ist objective development aus Wien. Gleich zwei ihrer vier Programme bin ich total verfallen. Am Schlimmsten ist es bei LaunchBar, das ich für einen der größten Würfe überhaupt halte (bitte keine Kommentare dazu, ich schreibe da die Tage auch noch mal drüber). Das zweite war schon immer LittleSnitch, vor allem, weil es konkurrenzlos ist. Die gute Nachricht ist, dass nun eine neue Version dieser Software naht.

Aber zunächst zu LittleSnitch selbst. Die kleine Petze ist ein Modul, das sich in den Networking Stack von Mac OS X schiebt und einem die Kontrolle über ausgehende Verbindungen überreicht. Jede Verbindung wird von LittleSnitch zunächst dem Benutzer gemeldet, der dann entscheiden kann, ob er die Kommunikationsaufnahme überhaupt zulassen möchte und wenn, ob dann nur einmal, nur bis zum Beenden des Programmes oder für immer senden darf. Das funktionierte bisher immer sehr gut und es gab ein einfaches User Interface, das einem erlaubte, die getroffenen Entscheidungen zu bearbeiten.

Nun naht eine neue Version und das Programm hat signifikante Verbesserungen erfahren. Derzeit ist die 2.0b6 verfügbar. Das gute ist, dass man die normalerweise kostenpflichtige Software in der Beta-Phase uneingeschränkt nutzen kann. Einfach den auf der Website angegebenen License Key benutzen.

Abgesehen davon, dass die Konfiguration, welches Programm mit wem Kontakt aufnehmen darf, viel einfacher geworden ist, beeindruckt mich vor allem der neue “Network Monitor”: ein transparentes Fenster, das stets anzeigt, welches Programm gerade das Netzwerk benutzt und mit wem es in Kontakt steht. Auch wenn die Verbindung schon wieder abgebaut ist zeigt einem LittleSnitch für jedes Programm, wohin die letzten Verbindungen gingen. Dadurch wird der ausgehenden Datenverkehr auf dem eigenen Rechner das erste mal wirklich transparent.

Die Software kostet 25 USD (derzeit ca. EUR 18,33) und ist jede Mark wert. Upgrades von der ersten Version kosten knapp die Hälfte.<

Eine der besten Anwendungen für SSH ist die SCP-Erweiterung und FTP-Alternative SFTP. Es gibt auf dem Mac mittlerweile zahlreiche exzellente Clients für SFTP. Ein paar davon möchte ich hier vorstellen.

Wer sich wie im letzten Teil beschrieben, SSH mit einem Public-Private-Key Schlüsselpaar und mit SSHKeychain einen SSH-Agenten eingerichtet hat, der die Passphrase des eigenen Schlüssels im Mac OS X Schlüsselbund abspeichert, hat jetzt leichtes Spiel, Dienste mit Applikationen zu nutzen, die SSH auf eine ssh-agent-kompatible Art und Weise nutzen. Das gilt leider nicht für alle verfügbaren SSH-Clients.

Für den Mac gibt es mittlerweile einige Dateitransfer-Programme, die auch SFTP unterstützen (auch FTP-TLS, auf das ich hier nicht eingehen möchte). Nur zwei von ihnen möchte ich hier featuren: Transmit und Fugu. Während Transmit ein kommerzielles, aber extrem umfangreiches, schnelles und höchst benutzerfreundliches Tool für alle populären und unpopulären Protokolle ist, ist Fugu freie Software und auf SSH-Protokolle spezialisiert.

Beide Programme verbindet, dass sie nahtlos mit ssh-agent zusammenarbeiten. Das bedeutet, dass man Verbindungen via SFTP herstellen kann ohne die Passphrase eingeben zu müssen, da sie via SSHKeychain direkt aus dem Mac OS X Schlüsselbund geliefert werden.

Andere bekannte Dateitransfer-Programme wie z.B. Cyberduck oder das ewig gestrige Fetch sind entweder nicht ssh-agent kompatibel (Cyberduck) oder können mit SFTP nix anfangen (Fetch).

Update: Ich wollte es eigentlich in einem weiteren Beitrag nochmal auseinandernehmen, aber Max hat mich in den Kommentaren zu recht hier schon hingewiesen (zumal er auch schon vor einiger Zeit hier darüber schrieb): auch MacFusion darf hier natürlich in der Liste nicht fehlen.

MacFusion arbeitet im Gegensatz zu den oben erwähnten Programmen auf Basis des Dateisystems. Die SFTP-Server werden also wie externe Festplatten oder AFP-Server im Finder sichtbar und der Dateitransfer kann einfach mittels des Finders vorgenommen werden. Auch hier klappt die Zusammenarbeit mit SSHKeychain ganz wunderbar.

Wie ich im letzten Beitrag zum Thema aufgezeigt habe, kann man mit der SSH mit vertretbaren Aufwand ein System aufbauen, das unter Verwendung von Schlüsselpaaren die Authentifizierung für Verbindungen zwischen zwei Systemen sicherstellt. Das Ergebnis erscheint auf den ersten Blick unbefriedigend: anstatt des Kennworts muss man nun bei jedem Verbindungsaufbau die Passphrase des privaten Schlüssels eingeben.

Diese Passphrase ist zwar keine Pflicht (man kann den Schlüssel auch ungeschützt im Dateisystem ablegen), aber so sensitive Daten sollte man nicht unverschlüsselt herumliegen lassen. Auf Linux-Servern sind unverschlüsselte private Schlüssel beim Betrieb von HTTPS-Webservern durchaus gängige Praxis, hat aber das gleiche Risiko. Mac OS X wiederum bietet hier aber Abhilfe: die Mac OS X Keychain (aka Schlüsselbund).

Mac OS X Server macht davon selbst Gebrauch. Legt man HTTPS-Dienste an, besteht das Administrationsprogramm darauf, die Schlüssel mit einer Passphrase zu versehen. Diese wird dann im System-Schlüsselbund abgelegt. Das ist zwar im Prinzip auch nur ein schwacher Schutz (schliesslich muss der Server auch darauf automatisiert zugreifen), aber es ist immerhin eine weitere Hürde aufgebaut (der Schlüssel muss über einen autorisierten Weg aus einer verschlüsselten Datei geholt werden). Aber mich interessiert hier mehr die Client-Seite (und muss auch zugeben, nicht viele weitere Details zu der Art, wie hier Mac OS X Server genau vorgeht, zu wissen).

Für die tägliche Anwendung auf der Kommandozeile bietet SSH bereits eine Lösung: der ssh-agent ist ein Hintergrundprozess, dem man einmal mit der Passphrase für den Schlüssel versieht und der dann in der Folge auf Anfrage einem SSH-Client den unverschlüsselten privaten Schlüssel bereitsteht. Man kann konfigurieren, wie lange der Agent den Schlüssel vorhält etc. pp. Für Leute, die ohnehin nur in der Kommandozeile zu Hause sind, eine passable Lösung.

Da diese Methode dem Mac OS X Schlüsselbund so ähnlich ist, liegt eine Integration auf der Hand und die Lösung gibt es bereits (in verschiedener Form). Das Programm, das ich ans Herz legen möchte und dass zu meiner Mac-Grundausstattung gehört, ist SSHKeychain, das jüngst in einer überarbeiteten Fassung und endlich auch als Intel-Binary erschienen ist.

SSHKeychain schlägt die Brücke zwischen dem ssh-agent und dem Mac OS X Schlüsselbund, in dem es im Environment (das, was man in der Kommandozeile durch Eingabe von “env” anzeigen lassen kann eine Kontaktadresse für den SSH-Client hinterlässt. Das sieht dann so aus:

SSH_AUTH_SOCK=/tmp/501/SSHKeychain.socket

Dadurch weiss die SSH, wie sie mit SSHKeychain kommunizieren soll. SSHKeychain fungiert nun als ssh-agent, legt aber die Passphrase in der privaten Keychain des Benutzers ab. Das Ergebnis ist, dass wann auch immer die Keychain geöffnet ist, die Eingabe der Passphrase entfällt. Das funktioniert für die SSH auf der Kommandozeile wie auch für SSH-kompatible Programme mit GUI gleichmassen.

Noch als ich diesen Beitrag schrieb wurden Sicherheitsprobleme in der Version 0.8.1 veröffentlicht. Seit heute gibt es die Version 0.8.2, die die geschilderten Probleme angeblich gelöst haben soll. Seit Version 0.8 gibt es SSHKeychain auch in einer Intel-Version.

Trotz aller Einfachkheit, die der Einsatz von SSHKeychain bringt, er macht ggf. die Sache auch unsicherer. Das muss jeder für sich abwägen. Es ist sicherlich generell zu empfehlen, seiner Keychain so einzustellen, dass sie beim Schlafen des Rechners und nach einem bestimmten Inaktivitäts-Timeout automatisch schließt. Das lässt sich im “Bearbeiten” Menü der Schlüsselbund-Applikation für jedes Schlüsselbund manuell einstellen.

Als nächstes werde ich ein paar Programme vorstellen, die prima mit SSHKeychain zusammenarbeiten.

Au weia. Jetzt habe ich den Max schon viel zu lange alleine gelassen und melde mich nach erfolgreichem Laptop-Neuerwerb (schwarzes MacBook) aus meinem Blogurlaub zurück. Und wie versprochen wende ich mich dem Thema SSH auf dem Mac zu. Zeit wird’s.

Die Secure Shell ist seit Mac OS X ein fester Bestandteil des Macs und das ist auch gut so. Zwar ist die Kommandozeile nicht jedermanns Sache, aber ich wollte ja mal erläutern, wie man davon profitieren kann, vor allem wenn man eigene Server betreibt.

Read more…

Unverzichtbares Werkzeug jedes Administrators ist die sogenannte Secure Shell (ssh). ssh stellt verschlüsselte und authentisierende (die Identität überprüfende) Verbindungen zu anderen Computersystemen her. ssh ist sehr flexibel einsetzbar und bietet neben dem normalen Einloggen auf dem anderen Rechner auch verschlüsselten Dateitransfer (via SCP, SFTP) und die Möglichkeit, eine beliebige andere Netzwerkverbindung durch einen Tunnel zu verbinden (sog. Port Forwarding).

Read more…

Die Verschlüsselungstechnologie WEP für WLAN-Netze gilt schon längere Zeit nicht mehr als sicher, da die darunterliegenden Verschlüsselungsalgorithmen eine Reihe von Schwachstellen aufweisen. Durch Mitschnitt und Analyse des verschlüsselten Datenstroms konnte man schon nach gut einem Tag schon anfangen, den Schlüssel mathematisch nachzuvollziehen.

Jetzt ist einer Forschergruppe an der Uni Darmstadt aber der nächste Schritt gelungen und jetzt kann ein WEP-Schlüssel auch auf einem Notebook schon in unter einer Stunde Minute gefunden werden. Das Tool aircrack-ptw liegt im Source Code vor, ein Paper beschreibt die mathematischen Hintergründe.

Zeit, das eigene Netz auf WPA oder WPA2 umzustellen, wenn einem die Privatsphäre lieb ist.

Das Motorola KRZR wartet mit einem ganz tollen neuen Feature auf: gibt man in WAP-Dialogen Kennwörter ein, werden diese so ganz nebenbei im Benutzerwörterbuch abgelegt. Mit dem Ergebnis, dass diese Kennwörter beim Eingeben von Text an anderen Stellen automatisch vorgeschlagen werden, sollten sie ähnlich beginnen. Hier handelt es sich wohlgemerkt nicht um ein Schlüsselbund-Feature wie bei Mac OS X, sondern um das persönliche Wörterbuch.

Ob der Effekt auch mit Kennwörtern in HTML-Formularen oder HTTP-Authentifizierungen auftritt gibt die Quelle nicht her. Hat jemand so ein Gerät?

CCC-Aktivistin und Mac-Benutzerin Constanze Kurz war zu Gast im letzten MacNews-Podcast und berichtet über aktuelle Probleme in der politischen Auseinandersetzung und gibt auch zahlreiche Tips, wie man sich als Mac-Benutzer vor der wachsenden Bedrohung der Online-Überwachung schützen kann.

Das Interview dauert 15 Minuten und ist lässt sich als MP3 direkt herunterladen. Der Podcast verweist auch auf eine ausführliche Anleitung zur Installation und Benutzung von der GPG-E-Mail-Verschlüsselung der “Stimme der freien Welt”, die ich auch für sehr empfehlenswert halte.

Auf dem Mac fühlt man sich nicht ganz ohne Grund etwas sicherer als auf Windows-Systemen, doch diese Sicherheit kann trügen und vor allem morgen schon von gestern sein. Mit dem jüngsten Erfolg der Plattform wendet sich auch das Interesse der Experten zunehmend dem Mac zu und es ist eigentlich nur eine Frage der Zeit, bis es als höchste Auszeichnung in der Szene gilt, dem Apfel ein Schnippchen zu schlagen (wenn es nicht schon so weit ist).

Um so schlimmer, dass jetzt auch die Bundesregierung laut darüber nachdenkt, sich kriminell zu betätigen und die Computersysteme privater Nutzer als Ziel für Ausspähung und Durchsuchung anzusehen. Das Thema “Online-Durchsuchung” geht wie ein Lauffeuer durchs Netz.