Aus bekannten Gründen müssen auch X.509-Zertifikate, welche zwischen September 2006 und Mai 2008 auf Debian-Systemen erzeugt wurden, neu generiert werden.
Mit EASY-RSA, einer Sammlung von Scripten aus dem OpenVPN-Paket, oder TinyCA, einem Frontend für OpenSSL, bekommt man zwar relativ leicht seine eigene Zertifikats-Hierarchie aufgebaut. Doch alle mir bekannten OpenSSL-Howtos zur manuellen Vorgehensweise sind eher mittelmäßig, da oft wichtige Details untergehen oder ganz fehlen und die Konfigurationsdateien chaotisch sind. Und über die Man-Pages der OpenSSL-Werkzeuge kann man bestenfalls sagen, dass sie eine gute "Idiotenbremse" sind.
Nicht jede in diesem Howto gezeigte Einstellung ist auch nötig oder hundertprozentig korrekt. Die verwendeten Parameter ermöglichen aber eine schnelle und systematische Erzeugung der Zertifikate, und die Konfigurationsdateien sind lesbar.
"eigene X.509-Zertifikats-Hierarchie mit ... »
Freitag, 23. Mai 2008
eigene X.509-Zertifikats-Hierarchie mit OpenSSL (CA, Client & Server)
Dienstag, 20. Mai 2008
Bruce Schneier über das OpenSSL-Debakel
Nun berichtet auch Bruce Schneier über das OpenSSL-Debakel. Der interessanteste Satz:
So so.
Back when the NSA was routinely weakening commercial cryptography, their favorite technique was reducing the entropy of the random number generator.
So so.
Montag, 19. Mai 2008
Paragraphenausritt zum WLAN-Urteil
Anlässlich des sonderbaren WLAN-Urteils, über das ich hier schrieb, fragt sich Mario Behling in seinem Freifunkblog:
Nun ist Freifunk ja nicht gleichzusetzen mit freiem Internetzugang per WLAN, aber vermutlich sind Freifunker nicht mehr aber auch nicht weniger gefährdet. Richter mit eigenwilligen Sichtweisen auf die Technik gibt es überall, da muss halt noch viel Informationsarbeit geleistet werden. In dem Beitrag erwähnt Behling:
Ich dachte mir, die Paragraphen könnte man ja mal nachschlagen... "Paragraphenausritt zum WLAN-Urteil" ... »
Inwieweit könnte dieses Urteil Freifunker betreffen? Persönlich schätze ich das so ein, dass wir davon nicht betroffen sind.
Nun ist Freifunk ja nicht gleichzusetzen mit freiem Internetzugang per WLAN, aber vermutlich sind Freifunker nicht mehr aber auch nicht weniger gefährdet. Richter mit eigenwilligen Sichtweisen auf die Technik gibt es überall, da muss halt noch viel Informationsarbeit geleistet werden. In dem Beitrag erwähnt Behling:
Bär, MMR 2005, 434, Bär nimmt die Haftung über §§ 88/89 i.V.m. § 148 TKG an und sagt auch, dass § 44 BDSG betroffen ist.
Ich dachte mir, die Paragraphen könnte man ja mal nachschlagen... "Paragraphenausritt zum WLAN-Urteil" ... »
OpenSSL-Debakel zeigt: Linux selbstverständlich sicherer als Windows
Abgeleitet von XKCDs Random Number und daher unter Creative Commons BY-NC-2.5-Lizenz, siehe http://xkcd.com/license.html.
Diesen Cartoon, und eine Verarbeitung dieses Dilbert-Comics im gleichen Stil findet man zur Zeit fast überall im Netz. Und Lolcats gibt es natürlich auch.
Ein schlimmer Bug hat die Linux-Welt erschüttert. SSH-, OpenVPN- und andere X509-Schlüssel sind vorhersehbar, die Sicherheit dahin. Feiste Windows-User kringeln sich in ihren nassgeschwitzen T-Shirts vor Lachen, blöd grinsende Microsoft-Jünger zeigen mit nackten Wurstfingern auf eigentlich besser ausgestattete Betriebssysteme, spießige Neuinstallierer fühlen sich in ihrer oberflächlichen Halbmeinung dass "Sicherheitslücken ja überall drin sind", bestätigt.
Ich denke, der Spott ist unberechtigt. Ebenso wie das peinlich berührte Schweigen der Geeks und das leise Wimmern der Blogs. "OpenSSL-Debakel zeigt: Linux ... »
Geschrieben von datenritter
in SSL/TLS
um
03:58
| 1 Kommentar
| 1 Trackback
Tags für diesen Artikel: cracking, debian, humor, linux, microsoftprodukte, openssl, sicherheit, ssl, xkcd
Freitag, 16. Mai 2008
Juristen interpretieren die Technik - heute: DHCP, SSID, IP-Adresse
Als hätte ich es geahnt, als ich über das Kommunikationsproblem zwischen Technikern und Juristen schrieb: Gericht erklärt Nutzung eines privaten, offenen WLAN zur Straftat (heise).
Seltsam, denn eigentlich ist die Sache schon vor Jahren ausführlichst von Juristen behandelt worden. Ein Artikel bei hrr-strafrecht.de von 2004 erklärt, warum die Nutzung eines offenen WLANs eben nicht strafbar sein soll.
Wenn man der heise-Meldung glauben darf, stellt das Gericht technische Fakten auf den Kopf:
Da liegt das Gericht falsch. "Juristen interpretieren die Technik - heute: ... »
Seltsam, denn eigentlich ist die Sache schon vor Jahren ausführlichst von Juristen behandelt worden. Ein Artikel bei hrr-strafrecht.de von 2004 erklärt, warum die Nutzung eines offenen WLANs eben nicht strafbar sein soll.
Wenn man der heise-Meldung glauben darf, stellt das Gericht technische Fakten auf den Kopf:
Der Begriff "Nachrichten" umfasse auch die Zuweisung einer IP-Adresse durch den Router. Diese nicht für ihn bestimmte Nachricht habe der Angeklagte "abgehört", in dem er auf die zugesandte IP-Adresse zugegriffen (...) habe. Denn die IP-Adresse sei gerade nicht für den Angeklagten bestimmt gewesen. Vielmehr werde die Festlegung, wer zur Verwendung der IP-Adresse berechtigt ist, allein vom Eigentümer des WLAN-Routers und nicht dem Gerät selbst getroffen.
Da liegt das Gericht falsch. "Juristen interpretieren die Technik - heute: ... »
Donnerstag, 15. Mai 2008
Kryoattacke - Video mit der EFF
Wieder mal durch hack a day habe ich etwas zur Cold-Boot-... äh.. Kryoattacke entdeckt, nämlich das folgende Video von boingboing tv:
Ab etwa 4:40 werden Gegenmaßnahmen diskutiert, inklusive einer neuen: Ein Temperatursensor könnte einen plötzlichen Temperaturabfall erkennen und den Speicherinhalt löschen. Außer vielleicht für Fallschirmspringer ist das eine nette Idee - aber nur wenn der Angreifer nichts davon weiß.
Ab etwa 4:40 werden Gegenmaßnahmen diskutiert, inklusive einer neuen: Ein Temperatursensor könnte einen plötzlichen Temperaturabfall erkennen und den Speicherinhalt löschen. Außer vielleicht für Fallschirmspringer ist das eine nette Idee - aber nur wenn der Angreifer nichts davon weiß.
Geschrieben von datenritter
um
05:20
| Noch keine Kommentare
| Keine Trackbacks
Tags für diesen Artikel: cracking, festplattenverschlüsselung, forensik, hackaday, hacking, kryoattacke, sicherheit, verschlüsselung
Sonntag, 6. April 2008
schwache WPA-Passphrases angreifen
Torsten Feld hat nach seinem WEP-Crack-Turorial nun auch die Anleitung zum Angeifen schwacher WPA-Passphrases veröffentlicht, und zwar hier.
Die Methode ist einfach: Man de-authentifiziert alle Clients, die an dem AP angemeldet sind, und zwingt sie so zum Re-Authentifizieren. (Logisch.) Dann kann man den Handshake mitlesen, auf den man dann
Ist das Netwerk mit einer guten Passphrase geschützt, dürfte der Angriff einige Millionen Jahre dauern. Wenn nicht, ist der Besitzer ein Depp.
Die Methode ist einfach: Man de-authentifiziert alle Clients, die an dem AP angemeldet sind, und zwingt sie so zum Re-Authentifizieren. (Logisch.) Dann kann man den Handshake mitlesen, auf den man dann
aircrack-ng loslässt.Ist das Netwerk mit einer guten Passphrase geschützt, dürfte der Angriff einige Millionen Jahre dauern. Wenn nicht, ist der Besitzer ein Depp.
Freitag, 4. April 2008
Kryoattacke - Gegenmaßnahmen ab Werk
Zumindest gegen das Ausziehen der Speichermodule, welche noch den Festplattenschlüssel enthalten, gibt es bereits ab Werk Gegenmaßnahmen: Das Mainboard Asus G-SURF365 verfügt über einen "Diebstahlschutz" — der besteht darin, dass die Halterung der Module mit dem Mainboard verschraubt werden kann.
Geschrieben von datenritter
um
18:21
| 7 Kommentare
| Keine Trackbacks
Tags für diesen Artikel: cracking, festplattenverschlüsselung, forensik, hacking, kryoattacke, sicherheit, verschlüsselung
Mittwoch, 2. April 2008
WEP cracken mit Fragmentation Attack
In seinem Blog feldstudie.net hat Torsten Feld ein gutes Tutorial veröffentlicht. Es beschreibt, wie man mit aireplay, aireplay-ng, packetforge-ng, airodump-ng und aircrack-ng die Hinfälligkeit der WEP-Verschlüsselung unter Beweis stellt.
Freitag, 14. März 2008
Hat Bruce Schneier die Grippe?
Anders kann ich mir diesen Beitrag in seinem Blog nicht erklären. Er schreibt dort über ein Tool, mit dem man über den FireWire-Port eines Windows-PCs vollen Zugang zum Speicherinhalt bekommt:
Aber das ist schon seit zwei Jahren bekannt, außerdem ist es eben die Festplattenverschlüsselung, die hier wirkungslos ist.
In den Kommentaren wird auch entsprechend Stellung genommen. Ein Leser schreibt:
Stimmt.
This is impressive: (...)
Full disk encryption seems like the only defense here.
Aber das ist schon seit zwei Jahren bekannt, außerdem ist es eben die Festplattenverschlüsselung, die hier wirkungslos ist.
In den Kommentaren wird auch entsprechend Stellung genommen. Ein Leser schreibt:
What intern put this on your blog! This is not the Bruce I know .....
Stimmt.
Geschrieben von datenritter
um
12:33
| Noch keine Kommentare
| Keine Trackbacks
Tags für diesen Artikel: bruce schneier, cracking, festplattenverschlüsselung, forensik, microsoftprodukte, sicherheit, verschlüsselung
« vorherige Seite
(Seite 5 von 6, insgesamt 53 Einträge)
nächste Seite »
