Gerade ein Vim-Mapping angelegt:
map ,gm <ESC>ggfjdwxepagmx<ESC>
Das sieht wirklich nach Voodoo aus. Doch was macht es? Es wandelt die Zeile From: Jens Kubieziel <jens@kubieziel.de> in From: Jens Kubieziel <kubieziel@gmx.de> um. Wie es funktioniert? siehe unten
Continue reading "Vim-Voodoo"Du hast ein Konto bei Google Mail? Du loggst dich immer per SSL ein? Du denkst, niemand sonst kann deine E-Mails lesen? Falsch!
Bereits im letzten Jahr zählte der Hack zu den Top 5. Dabei ist es im Allgemeinen so, dass man von der Webseite, bei der man sich einloggt, einen Session-Cookie bekommt. Ein Angreifer fängt diesen ab und kann nun selbst mit dem Account arbeiten. Eigentlich sollte die Verschlüsselung per SSL/TLS die Sachen geheim halten. Aber:
[...] The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails.
When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account.
Dies schreibt Rober Graham in seinem Eintrag More SideJacking
. Mike Perry, einer der Entwickler von Torbutton, fand heraus, dass einzig der Cookie mit dem Namen GX zur Authentifizierung benötigt wird. Dieser wird unabhängig von vorhandener Verschlüsselung gesendet. Weiter lässt sich der Cookie durch einen CSRF-Angriff über eine beliebige Webseite abfragen. Daher ist es äußerst empfehlenswert, die Cookies direkt nach Beenden von Google Mail zu löschen.
Die Forscher haben Google Mail als Beispiel benutzt. Natürlich gibt es viele andere Webseiten da draußen bei denen ein ähnlicher Angriff genauso gut funktioniert.
via Wired Blog
Nachdem du I2p installiert und einige Webseiten besucht hast, wird es Zeit, E-Mails zu schreiben. Du musst dir hierfür einen Namen aussuchen und kannst dann mit anderen I2Pler kommunizieren. Weiterhin existiert auch ein Gateway, welches deine E-Mail-Adresse umschreibt. Somit kannst du auch mit der Außenwelt E-Mails austauschen.
Deine E-Mail-Adresse hat die Form nutzername@mail.i2p. Um dir den Nutzernamen zu registrieren, besuche die Seite Postman.i2p. Dort gibt es ein Formular, in dem du deinen gewünschten Namen, Passwort sowie eventuell weitere Informationen angeben kannst.
Nachdem die Registrierung abgeschlossen ist, könnt ihr E-Mails senden und empfangen. Ein Weg ist, das mitgelieferte Webmail-Programm susimail zu nutzen. Nachdem ihr euch eingeloggt habt, seht ihr auf der Seite Buttons zum Versenden, Beantworten oder anderer Aufgaben. Du schreibst, wie gewohnt deine Nachrichten und versendest diese. Neue E-Mail wird automatisch angezeigt.
Nachrichten können sowohl an I2P-Adressen wie auch an externe Adressen versandt werden. Im letzteren Fall wird der Hostname von mail.i2p in i2pmail.org geändert. Dies erlaubt es, die E-Mail im Internet weiter zu versenden und der Empfänger kann auch wieder antworten. Im Falle der Antwort ändert das empfangende Gateway den Hostnamen wieder zurück.
Zu beachten ist dabei, dass die Anzahl der Empfänger auf 20 pro Tag beschränkt ist. Dies soll Spamming von I2P aus verhindern.
Natürlich kannst du auch ein richtiges E-Mail-Programm zum Senden und Versenden nutzen. Hierbei musst du aufpassen, dass das Programm nicht versehentlich mehr Informationen preisgibt, als du willst. Die Postman-Seite hat Informationen zu verschiedenen Mailern. I2P macht nach der Installation verschiedene Ports auf. Dazu gehören unter anderem 7659 und 7660. Dort lauscht ein SMTP- bzw. POP3-Prozess. Lege also in deinem E-Mail-Programm ein neues Konto an. Stelle das den POP3-Server auf die IP-Adresse 127.0.0.1 mit dem Port 7660 (überlicherweils als 127.0.0.1:7660 eingegeben) und den SMTP-Server auf 127.0.0.1 mit dem Port 7659 ein. Nun solltest du in der Lage sein, E-Mails mit dem Programm zu senden und zu empfangen.
Die zwei obigen Dialoge zeigen die Einstellungen von Evolution.
Aus der Kategorie “Interessante” Nutzerfragen: Ein Nutzer hat Windows XP auf dem Rechner und sucht die Funktion “zufällig IP-Adresse ändern”. Die generische Antwort darauf ist, Tor installieren. Dort dürften die Änderungen dann zufällig genug sein. 
Im weiteren Verlauf kam man jedoch darauf, dass derjenige wahrscheinlich DHCP will.
Bei Stöbern durch diverse Mailinglisten fand ich folgende “interessante” Anfrage:
Ich habe gehört das man programme mit HTML schreiben kann. [...] wo könnte ich denn so ein tool herbekommen, das dieses HTML-Programm zu einer EXE-Datei umwandelt? [...]
ohne Worte ...
Wer von euch kennt gute CD-Brennprogramme für Windows? Es wird zwar von allen Seiten immer wieder Nero empfohlen. Mit einem Preis von 70 Euro finde ich das zum einen recht teuer und zum anderen geht es mir zu verschwenderisch mit dem Ressourcen um. Ich hätte gern eines mit folgenden Voraussetzungen:
Der Punkt “Freie Software” scheint nach meinen jetzigen Recherchen nicht zu erfüllen sein. Es gibt Programme, die auf cdrecord aufsetzen. Jedoch kann man, zumindest nach dem Eindruck auf den Webseiten, nicht von einfacher Bedienung reden. Bei ISOBurn fehlt auch eine deutschsprachige Oberfläche.
Freenet stellt auf einer Seite kostenfreie Brennprogramme vor. Hier stiess ich noch auf burnatonce. Das macht auf den ersten Blick einen guten Eindruck. Hat jemand von euch Erfahrungen mit dem Programm gemacht? Welche anderen Programme könnt ihr empfehlen?
Für diverse Anwendungen (insbesondere Kryptografie) benötigt man einen Zufallszahlengenerator. Dieser sammelt aufgrund von verschiedenen Ereignissen (Tastatureingabe, Mausbewegung, Netzverkehr etc.) Werte und berechnet daraus Zahlen. Diese sollen möglichst gleichverteilt und zufällig aussehen. Insbesondere ist es wichtig, dass sich aus einer bekannten Ausgabefolge nicht die nächsten oder vorhergehenden Zahlen berechnen lassen. Denn das wäre dann wohl kein Zufall mehr.
Das Team um Zvi Gutterman hat im letzten Jahr den Zufallszahlengenerator von Linux untersucht. Bis auf Probleme bei festplattenlosen Routern waren sie von der Qualität des Generators überzeugt. Lediglich die fehlende Zusammenarbeit mit den Maintainern und der, sagen wir, eigenwillige Code wurde bemängelt. Nun haben sie sich den Zufallszahlengenerator von Windows angeschaut. Schon der Abstrakt verheißt nichts gutes:
The implication of these findings is that a buffer overflow attack or a similar attack can be used to learn a single state of the generator, which can then be used to predict all random values, such as SSL keys, used by a process in all its past and future operation. This attack is more severe and more efficient than known attacks, in which an attacker can only learn SSLkeys if it is controlling the attacked machine at the time the keys are used.
Sie haben den Binärcode einer Windows-2000-Installation untersucht. Der Code des Generators ist wohl seit Windows 95 bis Windows XP im wesentlichen gleich geblieben. Er nimmt Entropie aus dem System entgegen, hasht das und wendet dann RC4 an. Das bedeutet, wenn man einmal den Status des Generators kennenlernt, kann man alle weiteren Zufallswerte berechnen. Das wird dadurch erleichtert, dass der Generator im Benutzerraum läuft und nur alle 128 kB neu initialisiert wird. Weiterhin kann man auch alte Zufallswerte berechnen, wenn man den Status kennt. Der Aufwand beträgt laut der Veröffentlichung O(223), lässt sich also auf modernen Architekturen binnen Sekunden oder Minuten berechnen.
Alles in allem scheint damit der ZUfallszahlengenerator unter Windows seinen Namen nicht zu verdienen. Die Autoren geben einige Hinweise zur Verbesserung. Allerdings können die nur von Microsoft umgesetzt werden. Ein Grund mehr für Freie Software.