Tipps & Tricks

Raspi-NAS absichern

In meinem Heimnetz nutze ich einen Raspberry Pi 3 als NAS. Darauf läuft Raspbian und ich habe einige CIFS/SAMBA-Freigaben, auf die ich von meinen Geräten zugreife. Außerdem ist ein SSH-Zugang eingerichtet. Um die Daten zu schützen, habe ich die DynDNS-Funktion an meiner Fritzbox deaktiviert und verzichte auf dem Raspi auf einen Webzugang. Sind meine Daten sicher, oder können Hacker aus dem Internet via SSH auf den Raspi zugreifen?

Ferndiagnosen ohne detaillierte Kenntnisse Ihres Netzwerks sind schwierig, aber auf den ersten Blick erscheint die Absicherung Ihres Raspi zumindest zufriedenstellend. Stellen Sie sicher, dass Sie in Ihrem Router keine Port-Freigabe und auch keine Port-Weiterleitung auf den Raspi eingerichtet haben. Kurz gesagt: Die Firewall Ihrer Fritzbox muss ungebetene Anfragen an Ihren Raspi abweisen. Das ist bei den Werkseinstellungen der Fritzbox der Fall.

Falls der Raspi doch aus dem Internet erreichbar ist: SSH-Zugänge gehören zwar zu den am häufigsten attackierten, lassen sich aber absichern. Aktivieren Sie dafür die Public-Key-Authentication. Wenn diese funktioniert, schalten Sie die passwortgestützte Authentifizierung ab. Damit sind Sie auf der sicheren Seite. Wie man auf schlüsselbasierende Authentifizierung umstellt, haben wir schon vielfach beschrieben, beispielsweise in c’t 21/2022 auf Seite 172.

Zusätzlich kann es nützlich sein, in der Fritzbox den Port von der üblichen Nummer 22 auf einen weniger frequentierten Port jenseits von 10000 umzustellen. Da können Sie jeden beliebigen nehmen, sofern er frei ist. In dem Fall spielt es auch keine große Rolle, ob Sie für Ihren Internetanschluss DynDNS aktiviert haben oder nicht. Denn allein anhand Ihres Domainnamens lässt sich nicht rückschließen, über welchen Port der Raspi angesprochen wird. Das wissen nur Sie allein. (dz@ct.de)

Bootloader GRUB ignoriert Windows

Ich habe auf meinem PC Kubuntu neben Windows installiert. Ich kann beide Betriebssysteme über das Bootmenü meines UEFI-BIOS starten. Früher tauchte Windows auch als Booteintrag im Linux-Bootloader GRUB auf. Wie kann ich den Bootloader dazu bringen, auch Windows zu starten?

Um andere Betriebssysteme zu finden, verwendet GRUB das Tool os-prober. Da das Tool mit Root-Rechten alle Partitionen abklappert, befürchten die GRUB-Entwickler eine Angriffsmöglichkeit. Ein Angreifer könnte Schwachstellen im Dateisystem-Code nutzen, um Root-Rechte zu erlangen. Deshalb ist os-prober mittlerweile bei vielen Linux-Distributionen standardmäßig deaktiviert. Ubuntu fügt dem GRUB-Bootmenü andere bereits installierte Betriebssysteme nur noch während der Installation hinzu. Möchten Sie trotzdem os-prober nutzen, öffnen Sie die Datei /etc/default/grub mit Root-Rechten. Tragen Sie dort folgende Zeile ein:

GRUB_DISABLE_OS_PROBER=false

Anschließen aktualisieren Sie mit

sudo update-grub

die Grub-Konfiguration. In der Ausgabe des Befehls werden die erkannten anderen Betriebssysteme bereits aufgelistet. (ktn@ct.de)

BIOS-Recovery bei Intel-NUC

Windows hat mir ein BIOS-Update für meinen Intel NUC angeboten. Nach dem geforderten Neustart lief das Update zwar an, stoppte aber gleich wieder mit dem Hinweis „block capsule update by oem fw capsule data“. Auch bei einem zweiten Versuch mit der BIOS-Variante direkt von Intel, die man aus Windows heraus starten kann, schlug der Vorgang fehl. Nun scheint das BIOS zwischen zwei Versionen zu hängen.

Für einen solchen Fall hat Intel das BIOS-Recovery vorgesehen. Laden Sie sich von Intels Downloadseiten die aktuelle BIOS-Version mit dem Zusatz „XXX.Recovery.zip“ für Ihren NUC herunter (siehe ct.de/ydfb). Die entpacken Sie auf einen mit FAT formatierten USB-Stick, fahren das System herunter und lassen den Stick dabei angesteckt. Halten Sie den Einschaltknopf für drei Sekunden gedrückt. Wenn Sie loslassen, erscheint ein Auswahlmenü, aus dem Sie die Option „[F4] BIOS Recovery“ mit der F4-Taste wählen. Dann sollte die BIOS-Wiederherstellung beginnen und durchlaufen. Nach zwei bis fünf Minuten ist der Vorgang abgeschlossen und der NUC schaltet sich von allein aus oder fordert Sie dazu auf, dies zu tun. Erst dann dürfen Sie den USB-Stick entfernen.(bkr@ct.de)

Download Intel-BIOS-Recovery: ct.de/ydfb

Fehlende Zwei-Faktor-Authentifizierung bei der Postbank

Seit die Postbank zur Deutschen Bank migriert ist, brauche ich für den Login beim Onlinebanking keinen zweiten Faktor mehr. Man bekommt sogar Einsicht in die Konten. Ist das nicht eine gefährliche Sicherheitslücke?

Die Postbank hat bei der Migration zur Deutschen Bank deren technisches Regime in großen Teilen übernommen. Grundsätzlich können sich Banken für das Login einer gesetzlichen Ausnahme von der Zwei-Faktor-Authentifizierung bedienen. Dann muss der Kunde sich nur alle 90 Tage mit einem zweiten Faktor authentifizieren. So ist es bei der Deutschen Bank schon lange im Onlinebanking voreingestellt.

Im Hintergrund ist eine Betrugsprüfung aktiv, die beispielsweise bei unbekannten Geräten oder auffälligem Verhalten eine zusätzliche Authentifizierung anfordern kann. Daher ist das keine kritische Sicherheitslücke und mit Bauchschmerzen noch akzeptabel, wenn auch nicht optimal. Hinzu kommt, dass laut Gesetz bei Überweisungen der zweite Faktor für alle Beträge ab 30 Euro zwingend vorgeschrieben ist. Die Postbank fordert ihn schon von sich aus ab dem ersten Cent.

Die Deutsche Bank lässt Kunden im Onlinebanking aber schon seit einiger Zeit die Wahl, das „Komfort-Login“ (Zwei-Faktor-Authentifizierung alle 90 Tage) auf eine Zwei-Faktor-Prüfung bei jedem Login zu ändern. Die Postbank zieht hoffentlich bald nach. (mon@ct.de)

BIOS-Download ersetzt

Ich möchte in meinem PC den Ryzen 7 1700 auf einen Ryzen 7 3700X aufrüsten. Es handelt sich um die Variante „Ryzen-Allrounder“ des optimalen PC 2017, der ein MSI X370 SLI PLUS verbaut hat. Laut Ihrem Artikel sollte man das BIOS dafür auf die Beta-Version 7A33v3L3 aktualisieren. Diese Version finde ich aber nicht mehr auf der Website von MSI. Ich finde dort nur die beiden Beta-Versionen 7A33v3L4 und 7A33v3L6. Kann ich eine der beiden BIOS-Versionen zur Aktualisierung benutzen, damit die neue CPU läuft?

Die im Artikel angegebene Version „7A33v3L3“ gibt es tatsächlich nicht mehr. Offenbar hat MSI sie durch die von Ihnen genannten Versionen ersetzt, die Sie jetzt für das Update nutzen können. Stellen Sie aber vorher sicher, dass die aktuelle Version des AMD-Chipsatztreibers installiert ist. Wir haben den Download unter ct.de/ydfb verlinkt. Bitte denken Sie auch daran, nach dem Update die BIOS-Einstellungen von der Projektseite erneut vorzunehmen; sie werden im Zuge des Updates auf die Standardwerte zurückgesetzt. (bkr@ct.de)

Chipsatztreiber und Projektseite: ct.de/ydfb

FIDO2-Multitalent gesucht

Ich suche einen kleinen FIDO2-Stick, der folgendes unterstützt: Fingerabdruckerkennung, Residential Keys, Firmware-Updates sowie Smart Card für SSH und Client-Zertifikate. Gibt es so einen Stick?

Es gibt nur eine kleine Auswahl an FIDO2-Sticks mit Fingerprint-Readern, aber die schwächeln bei den anderen Anforderungen. Insbesondere Fingerprint und Smart Card gibt es unseres Wissens nach nicht zusammen in einem Gerät.

In puncto Smart Card sind die Yubikeys gut aufgestellt, aber auch das 100 Euro teure Fingerprint-Modell Yubikey Bio erfüllt nur einige Ihrer Wünsche. Zudem kann man bei Yubikeys die Firmware nicht aktualisieren, laut Hersteller aus Sicherheitsgründen.

Wenn man auf die Fingerprint-Funktion verzichten kann, dann dürfte der Nitrokey 3 am ehesten passen (FIDO2, Smartcard-Funktionen, aktualisierbar). Für SSH brauchen Sie die Smart-Card-Funktionen übrigens nicht mehr zwingend. Das klappt inzwischen auch allein mit FIDO2, wenn Client und Server mitspielen (ct.de/ydfb). Weitere SSH-Kniffe und wie Sie Ihre Schlüssel sicher auf dem FIDO2-Stick mitnehmen, haben wir in c’t 21/2022 im Artikel ab Seite 172 aufgeschrieben. (dz@ct.de)

Yubikey Dokumentation: ct.de/ydfb

Zugriff auf das Heimnetz trotz CGNAT

Die Deutsche Giganetz GmbH rührt in meiner Region die Werbetrommel für den Glasfaserausbau. In einer FAQ des Anbieters bin ich darüber gestolpert, dass bei Privatkunden das sogenannte Carrier-Grade-NAT-Verfahren genutzt wird. Dabei laufe mein IPv4-Verkehr über eine Adresse, die sich mehrere Kunden teilen. Anspruch auf eine eigene IPv4-Adresse bestehe nicht. Kann ich dann nicht mehr unterwegs mit dem Handy auf meine Smart-Home-Zentrale zugreifen?

Richtig. Da Sie aber IPv6 bekommen, klappt der Zugriff aufs Heimnetz, solange IPv6 auf Ihrem Smartphone und im Providernetz oder im fremden WLAN aktiviert ist und die zu erreichenden Geräte IPv6 sprechen. Da das leider längst noch nicht überall der Fall ist, bleibt als Möglichkeit, für wenig Geld einen vServer mit öffentlicher IPv4-Adresse zu mieten, der als Proxy fungiert. Wie das geht, haben wir beispielsweise in c’t 2/2018 ab Seite 138 beschrieben.

Den günstigsten vServer bietet derzeit Ionos für einen Euro pro Monat an (VPS Linux XS), allerdings IPv4-only. Weitere Angebote finden Sie bei den üblichen Hostern (etwa Strato, Hetzner, OVH), typischerweise im Bereich 5 Euro/Monat. Falls Ihnen das zu umständlich ist, bleiben noch Dienstleister wie beispielsweise www.feste-ip.net, die IPv4-Adressen und Portmapper vermieten. Auch da müssen Sie mit vier bis fünf Euro pro Monat rechnen. (ea@ct.de)

Sicherheit beim Onlinebanking

Ich mache Onlinebanking in der Regel am PC, weil ich das übersichtlicher finde. Um Zugriff auf mein Konto zu erhalten, muss ich auf dem Smartphone die ING-Banking-App installieren. Nach der Anmeldung mit einer PIN kann ich auf dem Smartphone bereits Einsicht in das Konto nehmen. Auf dem PC muss ich zwei QR-Codes scannen, um die Konten abzufragen. Jegliche weitere Aktion am PC muss ich per Eingabe der PIN in der App freigeben. Das halte ich für ein sicheres 2FA-Verfahren. Aktionen wie Überweisungen auf ein anderes Konto können aber auch alleine am Smartphone erfolgen. Dazu meldet man sich mit der PIN in der App an und hat nach der Bestätigung bereits Zugriff auf Konto, Extrakonto und Depot. Um Geld zu überweisen, genügt es, dieselbe PIN wie bei der Anmeldung einzugeben. Das ist doch kein sichereres 2FA-Verfahren, oder?

Da können wir Sie beruhigen. Die Antwort lautet, dass sich die zwei Faktoren aus den Bereichen Besitz und Wissen ergeben. Die App haben Sie bei der Einrichtung technisch an Ihr Smartphone gebunden. Dieses gilt als Besitz. Wichtig ist dabei, den Sperrbildschirm durch eine gute PIN oder biometrisch zu sichern. Die fünfstellige PIN der ING-App haben Sie im Kopf, sie stellt den zweiten Faktor (Wissen) dar.

Anders ausgedrückt: Selbst wenn Diebe an Ihr Smartphone kommen und dessen Sperre überwinden, haben sie immer noch die Hürde App-PIN mit einer theoretischen Wahrscheinlichkeit von 3 zu 10.000 vor sich. Diese PIN ist übrigens umso schwerer zu erraten, je weniger sie sich beispielsweise an Geburtsdaten oder aktuelle Telefonnummern anlehnt, die man sich aus anderen Quellen erschließen kann. Einfallslose Kombinationen wie 12345 oder 33333 verbieten sich von selbst. Auf keinen Fall darf die PIN außerdem mit der des Geräts übereinstimmen.

Die Tatsache, dass Banking und Authentifizierung auf demselben Gerät stattfinden, ist kein grundsätzliches Problem. Die jeweiligen Kanäle laufen getrennt voneinander. Banking-Apps funktionieren zudem in der Regel nicht mehr, wenn Angreifer das Handy gerootet und damit übernommen haben. Falls die App doch noch funktioniert, besteht eine hohe Wahrscheinlichkeit, dass die automatische Betrugsprüfung der ING die Modifikation erkennt, anspringt und die Überweisung blockiert.

Die Betrüger wissen das natürlich ebenfalls. Daher versuchen sie in aller Regel, Ihnen die Zugangsdaten und Berechtigungen durch Phishing-Angriffe oder vorgebliche Telefonanrufe Ihrer Bank abzuluchsen. Wie sie dabei vorgehen, haben wir in c’t 14/2023 auf Seite 66 aufgeschrieben. (mon@ct.de)