Doomshammer's Weblog

...ich muss ma schnell updaten ... huch schon fertig!

(via strcat)

• Comments (2)
• Trackback (1)

Just upgraded my Blog (featured by the best blogging software on the planet) from v1.2.1 to the fresh released v1.3. This is basically a security release, but also some new features have been added. As usual the upgrade was done within less than 3 minutes (incl. download and extracting). S9Y rocks!

(via strcat|s9y)

• Comments (3)
• Trackbacks (0)

Very good read about OpenVPN and SSL VPNs. It pretty much confirms my choice for OpenVPN as VPN-Solution.

• Comments (0)
• Trackbacks (0)

Ich hatte mir vor ein paar Tagen ja schon ueber die Sicherheit einiger WLANs ausgelassen und das brachte mich dann doch nochmal ins Gruebeln. WPA2 mit 63-byte Key schoen und gut, aber das gelbe vom Ei ist es dennoch nicht. Nicht nur, dass man den Key auf Grund der laenge sehr schlecht behalten kann, es ist ausserdem ein "Shared Secret". Sprich wenn ich irgendeinem Gast mal den Key zu meinem WLAN gegeben habe und dann wird ihm z. B. das Laptop geklaut, dann ist der Key in fremden Haenden und kann zumindest theoretisch missbraucht werden (und der Boesewicht kann damit in meinem LAN rumschnuefflen). Klar klingt das jetzt ziemlich paranoid und sehr theoretisch, aber die Moeglichkeit besteht.

Also bin ich hingegangen und habe mein Netz etwas mehr abgesichert um solche Faelle auszuschliessen. Zuerst habe ich mein Netz in 2 VLANs unterteilt. Einmal das LAN- sprich die physikalischen Netzwerk-Ports die ich ja ueberwachen kann und dann noch das WiFi VLAN. Die beiden VLANs sind in versch. Subnetze unterteilt und nochmal via Firewall-Regeln komplett von einander abgeschirmt. Wer im LAN ist kann alles- wer im WLAN ist kann surfen, aber mehr auch nicht. Das LAN Netz ist fuer User im WLAN-Subnetz ueberhaupt nicht moeglich (ausser DNS Requests). Man kann sich allerdings via OpenVPN ins LAN einwaehlen und hat dann den kompletten Zugriff aufs LAN.

Das hat natuerlich schonmal 'ne Menge gebracht, denn zumindest mein LAN ist jetzt voellig autak und auch wenn jemand es ins WLAN schafft, hat er keine Chance ins LAN zu kommen.... Schoen! Aber ich habe trotzdem noch immer das Problem mit dem Shared-Key. Also habe ich meinen OpenWRT Router noch um einen FreeRadius Server erweitert und 802.1x WPA Authentifizierung aktiviert. Somit kann ich jetzt einzelne User einrichten und habe eine Zertifikat-basierte Authentifizierung. Wenn da jetzt noch jemand rein kommt, weiss ich auch nicht mehr weiter

Ich fuehle mich jetzt um einiges sicherer in meinen Netzen

• Comments (6)
• Trackbacks (0)

Ich gehoere ja zu dem Typ Mensch, der ungern andere seine Daten mitlesen laesst. Ich hole und sende Mails nur via SSL Verschluesselter Mailsever (da ich mein eigener Hoster bin, ist das recht einfach zu bewerkstelligen), ich versuche oft wie moeglich meine Mails zu verschluesseln, genauso wie ich auch versuche sooft wie irgend moeglich meine IM-Konversationen via OTR oder GPG zu verschluesseln. Mein WLAN-Key ist ein 63byte langer WPA2-AES Key und wird auch regelmaessig geaendert.

Da ich ja immer oefter reise und somit oft in offenen oder zumindest nicht unbedingt vertrauenswuerdigen WLANs und LANs haenge, habe ich auf meinem OpenWRT jetzt OpenVPN aufgesetzt (btw. ich habe es neu aufgesetzt, denn ich habe bereits seit Jahren OpenVPN darauf laufen). Ich habe jetzt aber eine OpenVPN+PKI Installation gemacht. Die PKI-Variante von OpenVPN bietet naemlich einiges mehr an komfort (z. B. autom. Routen pushen an den Client, etc. pp.). Die Installation ging wie immer ziemlich einfach von der Hand (habe auch schon bei Kunden OpenVPN + PKI aufgesetzt - allerdings nicht auf 'm OpenWRT ).

Die einzige Problematik die ich jetzt noch hatte war- wie teste ich ob es wirklich funktioniert? Ist immer doof wenn im LAN alles funktioniert, man dann im Hotel oder beim Kunden sitzt und dann von "extern" nichts mehr klappt, weil irgendwelche Firewall-Regeln nicht eingerichtet sind oder Routen auf dem OpenWRT fehlen (oder das pushing des DNS nicht klappt, etc...). Also dachte ich mir- waehlst Du Dich mal in ein oeffentliches WLAN ein, falls es eins in meiner Naehe geben sollte. Ich suchte also die Nachbarschaft nach offenen WLANs ab, musste aber verwundert feststellen, dass es keine mehr gibt (sonst gab es immer ein offenes WLAN mit der SSID "default" ). Gut, jetzt hab ich ein Problem- denn meine WLAN Karte funktioniert nicht mit aircrack. Aber dann fiel mir wieder ein, dass ich doch mal mit aircrack ein WLAN eines Nachbarn (eher versehentlich) geoeffnet hatte.

Ein Blick in die verfuegbaren WLANs bestaetigte das es das WLAN mit einer 4-Stelligen SSID immernoch gibt. Der Key war damals (als ich vor 2 Jahren hier in Koeln eingezogen bin und 2 Wochen keinen Internetanschluss hatte) innerhalb von Minuten geknackt. Der Key war so trivial, dass er regelrecht darauf hoffen muss geknackt zu werden (WEP: 24 Nullen, gefolgt von einer 2-stelligen Zahlenfolge). Ich ging natuerlich davon aus, dass der Key schon 100.000 mal geknackt wurde und der Besitze endlich mal den Key geaendert hat- ich malte mir also keine grossen Chancen aus. Das aenderte sich aber schnell, als das "verbunden"-Signal nach Eingabe der o. g. Zahlenfolge ertoente. Der Besitzer des WLANs hat innerhalb der letzten 2 Jahre seinen Key tatsaechlich nicht geaendert- ich konnte mich also ohne Probleme einwaehlen und mein VPN testen (klappt btw. 1a ).

Ich meine, selbst wenn man ueberhaupt kein Gefuehl fuer Technologie hat und was Computer-Sicherheit angeht... in den Medien wird man taechlich darauf aufmerksam gemacht (z. B. durch den Sicherheitsgott himself) wie unsicher WLANs sind und wie leicht sie zu knacken sind... selbst Lieschen Mueller sollte in der Lage sein zu merken, dass es hin und wieder mal noetig ist das WLAN PW zu aendern- und wenn man es selbst nicht kann, dann fragt man im Bekanntenkreis nach, ob jemand aushelfen kann (oder Oma fragt ihren Ur-Enkel oder so). Ich denke ich werde nochmal ins WLAN einwaehlen und schauen ob ich den Besitzer identifizieren kann (die SSID ist btw. ein deutscher Nachname) und werde den Besitzer dann mal darauf aufmerksam machen.

• Comments (5)
• Trackback (1)

Happy 12th anniversary OpenBSD (upon the next 12 years of stability and security!)

• Comments (2)
• Trackbacks (0)

Happy 8th anniversary OpenSSH!

• Comments (0)
• Trackbacks (0)

No further comment *eg*

• Comments (4)
• Trackbacks (0)

It seems as if my "call for encryption" (german version) made an impact. In the last 4 5 days, I received about 7 11 public gpg keys from people I am in contact with. At least for me, this is a success and I hope that my article will convince some more people

Additionally, today I got an assistance request via jabber. Another user who found the amenities of security

• Comments (0)
• Trackbacks (0)

deifl hat mich gebeten, meinen Text ueber PGP/GPG und allgemeine Verschluesselung ins Deutsche zu uebersetzen. Dem will ich hiermit Folge leisten

In Zeiten oeffentlicher Videoueberwachung und staatlich geforderter Emailkontrolle frage ich mich, warum so wenig Leute in meinem Umfeld Software wie PGP (oder noch besser die freie Alternative GPG) einsetzen um Ihre Mails digital zu signieren und zu verschluesseln.

Ich kenne und nutze GPG seit nunmehr ueber 10 Jahren und die Liste der Leute, denen ich verschluesselte Mails via GPG senden kann ist kleiner als 20 Personen. Ich weiss, dass in den Anfangszeiten von GPG die Bedienung nicht gerade die einfachste war und das die Integration in alltaegliche Software (wie Mailprogramme) kaum bis garnicht vorhanden war. Aber Heutzutage gibt es sehr viele verschiedene Programme/Plugins die die Integration von PGP/GPG in viele Mailprogramme ermoeglichen und erleichtern. Viele Mailprogramme (wie TheBat! oder Mutt - welche ich selbst Zuhause nutze) haben sogar direkte GPG Unterstuetzung. Ich hab' heute auch noch nach einem Outlook-Plugin gesucht, da viele Freunde von mir es benutzen und ich hab' ein Projekt gefunden welches auch mit Outlook 2003 arbeitet: http://www.gpg4win.org. Ich benutze GPG unter anderem auch zum digitalen signieren meiner Mails, so das der Empfaenger die Moeglichkeit hat zu kontrollieren, dass die Mail wirklich von mir stammt. Warum sollte man dieses Feature nicht nutzen? SPAMer, Viren und Trojaner- dieser ganze Mist nutzt Mails um sich selbst von Benutzer zu Benutzer zu verteilen. Wenn Du eine Mail bekommst, die so aussieht als kaeme sie von mir, die aber nicht digital signiert ist, schau zumindest mal in den Mailheader, da ich mir angewoehnt habe, fast alle meine Mails zu signieren.

Eine andere Software, die es auch erlaubt die Kommunikation zu verschluesseln ist Jabber. Das XMPP (oder besser das Jabber Protokoll (das ja auch XMPP aufsetzt)) erlaubt PGP/GPG Verschluesselung wenn der Client es erlaubt. Ich nutze PSI als Client, welcher eine ziemlich gute GPG Integration hat und "Out-Of-The-Box" mit GPG (auch unter Windows XP) arbeitet. Trotzdem habe ich nur sage und schreibe 3 (von 60) Benutzer in meiner Kontaktliste, mit denen ich verschluesselt kommunizieren kann und ich frage mich warum?

Daher hier mein Aufruf: Leute verschluesselt eure Mails, Chats, Kommunikationen/Nachrichten und wichtige Dateien, so dass ihr bessere Kontrolle darueber habt, wer eure Nachrichten, Chats und Dateien lesen kann. Du bist eingeladen mir Deinen oeffentlichen Schluessel zu schicken, so dass ihn in meine GPG Liste aufnehmen kann. Und Du darfst mir auch gerne Fragen zu GPG schicken, wie Du GPG auf Deinem System zum laufen bekommst (ich werde zumindest versuchen sie zu beantworten).

Und um einen kleinen Einblick zu gewaehren wer Dich beobachtet/wer mitliest, hier ein paar Links zum Thema:
- Die schoene Welt der Ueberwachung
- Abhoerverpflichtung von Mailhostern
- TKUEV
- Bundestrojaner
- Ermittlungsverfahren "Mikado"

Und ein paar Links zum Thema PGP/GPG:
- Kai Raven's Einfuehrung in PGP/GPG
- Wie benutze ich Jabber und GPG (Kai Raven)
- "GPG? Was?!"
- Warum Du PGP brauchst

Meinen oeffentlichen Schluessel findest Du uebrigends in der Navigationsleiste unter "Contact". Dort findest Du einen Link zu meinem oeffntlichen Schluessel sowie den Schluessel direkt als Download und den Fingerabdruck meines Schluessels.

• Comments (4)
• Trackbacks (0)

In times of public observation of people and governmental forced email inspection, I am wondering why so many people in my environment don't use tools like PGP or better the free alternative GPG for signing and encrytion of their mails.

I know and am using GPG since over 10 years now, and the list of people I am able to send GPG encrypted mails, is less than 20. I know that in the beginning of GPG it was very complicated to use it with common tools like you MUA. But today there are so many different tools, that assist you with it or a lot of MUAs that have direct GPG integration (like TheBat! or Mutt which I am using at home). Today I searched for a Outlook Plugin, as a look of my friends are using it and I found this project which seems to work as well with Outlook 2003: http://www.gpg4win.org. I also use GPG to sign mail, so that the recipient has the posibility to verify that it is me who sent the mail. Why not use this feature. SPAMers, viruses, trojans- all this shit is using mail to send out their crap to other people. If you get a mail which seems to be sent by me but isn't digitally signed, be sure to at least have a closer look at the mail header, as I am used to sign nearly every mail.

Another tool that allows you to encrypt your communication is Jabber. The XMPP (or better- the Jabber protocol) allows PGP/GPG encryption if your client allows it. I am using PSI which has a pretty nice GPG integration and works out-of-the-box with GPG (even on a Windows XP box). But in my roster there are only 3 (of about 60) people which are using encryption, and I am wondering why?

So here is my appeal: People encrypt you mails, chats, communications and important files so that you have better control of who is able to read you communications and your files. You are welcome to send me your public keys so that I can add it to my client. And you are welcome to send me questions for assistance with getting GPG running on your system as well.

And to give you a little insight who is watching/reading you, find some links below:
- Die schoene Welt der Ueberwachung
- Abhoerverpflichtung von Mailhostern
- TKUEV
- Bundestrojaner
- Ermittlungsverfahren "Mikado"

And some links about PGP/GPG:
- Kai Raven's introductions into PGP/GPG
- Using GPG with Jabber (Kai Raven)
- "GPG? Was?!"
- Why you need PGP

Update: As deifl mentioned- encryption should be easy. So here is how you can access my public key: Just click in the navigation bar on "Contact" to see my contact-details. There you can find my Key ID with a link to the keyservers that hold my public key, plus you can directly download it from my webserver as well as you can find the fingerprint.

• Comments (2)
• Trackback (1)

As my GPG-Key (actually PGP-Key as I created it with PGP 2.x) is already really old and not really trustful anymore (1024 bit, old email addresses, etc. pp.), I generated a new GPG key for my daily use. So please update your keyring with my new key. You can delete my old key (0x25dcaed0) and import my new key (0xda5cd8ef). The fingerprint of my new key is: 957A 0EE9 CB77 D6CD CBB2 E1F9 DA77 8FCA DA5C D8EF. This new GPG key can btw. also be used for encrypted communication over my new jabber account.

The public key can also be downloaded directly from my blog: http://blog.pebcak.de/uploads/winfriedneessen.net.asc

Additionally I've finally added a "contact" page to my blog, with several different ways to reach me. Find it here.

• Comments (0)
• Trackbacks (0)

Today Stefan Esser (Hardened PHP) offically retired from the PHP Security Response Team. Read about the reasons and what this means for PHP users in this article.

(via Fefe)

• Comment (1)
• Trackback (1)