Qbi's Weblog

Assurer aufgepasst! CAcert veranstaltet diese Woche in Jena ein Training. Jeder, der sich gern bei der freien, community-basierten Zertifizierungsinstanz engagieren, möchte ist dazu herzlich eingeladen. Das Training startet am 29. März 2012 um 19 Uhr. Wir treffen uns im Raum E006 des Universitätsrechenzentrums der Universität Jena (Am Johannisfriedhof 2). Viel Spass bei der Teilnahme!

In Deutschland dreht sich derzeit die Diskussion um den Bundestrojaner, der vom CCC gefunden wurde. Derweil spielt sich in den USA ein anderes Drama ab.

Jacob Appelbaum kann man nur als vielseitigen Zeitgenossen bezeichnen. Er arbeitet beim Tor-Projekt als Entwickler, hat in der Vergangenheit einige spektakuläre Ergebnisse im Bereich der IT-Sicherheit gefunden, engagiert sich bei WikiLeaks, half Hurrikanopfern usw. Die Liste lässt sich beliebig erweitern. Doch eines seiner Hobbys brachte ihm Probleme ein. Auf der Konferenz The Next HOPE hielt er im Juli 2010 einen Vortrag zu WikiLeaks (siehe unten). Seitdem wird Jacob bei jedem Grenzübertritt aus den USA oder in die USA kontrolliert. Das heißt, er wird zum Teil stundenlang festgehalten und befragt. Ihm wurden Geräte weggenommen und anderes mehr. Jetzt werdet ihr euch fragen, auf welcher Basis dies passierte. Dies ist bis heute unklar! Es gibt keine Anklage. 

Nachdem das Justizministerium Informationen von Twitter über Jacob Appelbaum und andere Aktivisten wollte, geht die US Regierung noch einen Schritt weiter. Sie forderte von Google und von dem Provider Sonic alle E-Mail-Adressen mit denen Appelbaum in den letzten zwei Jahren kommunizierte. Ein Artikel im Wall Street Journal hat weitere Details zu der Sache.

Welchen Erkenntnisgewinn soll eine solche Sache bringen? Wenn man die diversen Schritte der Behörden verfolgt, drängt sich der Verdacht auf, dass es nur um Schikane geht. Jacob kann man wohl nichts Böses nachweisen und so scheinen die Behörden einfach ein Exempel zur Abschreckung aufzubauen. Ich kann nur hoffen, dass die Vorgang ein Ende hat und Jacob sich wieder seinen Interessen widmen kann.  

Continue reading "Behördenwillkür bei Jacob Appelbaum"

Das Desaster um die niederländische Zertifizierungsstelle DigiNotar zieht derzeit immer noch seine Kreise. Mir scheint es noch zu früh, um hier etwas dazu zu schreiben. Vielmehr will ich ein paar Worte verlieren, wie ich „meine eigene CA betreibe“. Denn schon seit längerem vertraue ich nicht, den von den Browsern mitgelieferten Zertifizierungsstellen (CA). Zumeist lösche ich alle und gebe dann einzeln Vertrauen.

Der beste Weg, um einem SSL-Zertifikat zu vertrauen, wäre, sich bei dem Betreiber zu melden und über einen sicheren Kanal den Fingerprint des Zertifikats zu klären. Mein Browser zeigt mit für die Seite Wikipedia-SSL-Seite den Fingerprint (SHA-1) BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E an. Wenn ich bei der Wikipedia anrufe und diese mir denselben nennen, so habe ich das korrekte Zertifikat. Dabei nehme ich natürlich an, dass das Telefon ein sicherer Weg zum Austausch der Informationen ist. Aber beispielsweise druckt die lokale Sparkasse eben diesen Fingerprint auf ihre Dokumente. Damit kann ich das als Kunde leicht verifizieren.

Wie das Beispiel Wikipedia aber schon zeigt, ergibt sich da ein Problem.Woher bekomme ich den Fingerprint? Muss ich bei Jimmy Wales direkt anrufen oder gar nach FloridaKalifornien¹ reisen? Hier kam nun meine Idee ins Spiel.

Ich habe auf diversen Servern einen Zugang, d.h. ich kann mich von der Ferne einloggen und dann dort arbeiten. Die Rechner stehen in verschiedenen Netzen und zum Teil auf verschiedenen Kontinenten. Nun logge ich mich auf den Servern ein, lade das Zertifikat herunter und lasse mir den Fingerprint anzeigen. Wenn dieser auf allen Rechner gleich ist, dann gehe ich davon aus, dass ich das korrekte Zertifikat angezeigt bekomme. In dem Fall akzeptiere ich das und vertraue dem. Sollten die Fingerprints abweichen, dann akzeptiere ich das nicht und recherchiere dem in der Regel ein wenig hinterher.

Jörg Sommer hat das nun ein wenig automatisiert und ein zsh-Skript (Quelltext weiter unten) geschrieben. Das wird folgendermaßen aufgerufen:

ssl-fp-check [-l] sslsi.te[:port] ssh1 [ssh2] [ssh3] ...

Dabei ist sslsi.te die Webseite, die geprüft werden soll. Ohne die Angabe eines Ports verwendet das Skript standardmäßig 443. Danach wird eine oder mehrere SSH-Verbindungen angegeben. Das Skript wird nun versuchen, sich überall einzuloggen und gibt dann den Fingerprint aus. Für den Fall, dass es auf dem Zielsystem kein OpenSSL gibt, existiert die Option -l. Dabei wird dann ein Tunnel gebaut und das lokale installierte OpenSSL verwendet.

Also für Wikimedia habe ich folgendes eingeben:

ssl-fp-check secure.wikimedia.org a b c d
a: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
b: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
c: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
d: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E

Die SSH-Server a, b, c und d gaben also denselben Fingerprint aus. Also würde ich dem ganzen doch vertrauen.

Ich werde das Skript jetzt wahrscheinlich immer verwenden. Es macht das Leben doch deutlich einfacher.

Continue reading "Fingerprints von SSL-Seiten prüfen"

Bei Twitter war kürzlich mal wieder ein nettes Mem zu beobachten. Es entstand eine Folge von „The great thing about $PROTOCOL jokes is $PROTOKOLLEIGENSCHAFT.“-Sätzen. Zu finden ist das Ganze unter dem Hashtag #protolol. Naja, lest selbst:

• The great thing about TCP jokes is that you always get them.
• The great thing about IP over Avian Carrier jokes is that if your joke gets fragmented, you at least get free dinner.
• The great thing about WebDAV jokes is you can tell many different versions of the same joke and people will still listen.
• The great thing about Zeroconf jokes is that you can just walk up to strangers and tell them, no introduction necessary.
• The great thing about IPP jokes is that you always end up with a paper record of the joke in question.
• The great thing about Nessus jokes is that they’re often inaccurate and poorly worded.
• The great thing about rsync jokes is that it only tells them if you haven’t heard them before.
• The great thing about bacterial transformation jokes is that there are always a lot of fungis involved.
• The great thing about DHCP jokes is that you can lend them to others and take them back when you want.
• The great thing about DNS jokes is that you don’t have to tell them with authority.
• The great thing about BGP jokes? Anyone can claim they are their own, all you can do is hope your neighbours like them.
• The great thing about nerdy jokes is that they follow a general pattern of self-referentiality that can be abstracted out.
• The great thing about ASLR jokes is you never know where they’re going.
• The great thing about antivirus jokes is you only need to change them a little and they’re funny again.
• The great thing about encryption jokes is d0842c7091158f8a8e6c89ed0cf4ec07.
• The great thing about gmail jokes is the chinese read them before you do.
• The great thing about TLS jokes is that you can tell if it’s not original.
  
• The great thing about XML jokes is that you can put anything into them.
• The great thing about Java jokes is waiting for them to begin.
• The great thing about Teredo jokes is that you can tell smart jokes even when surrounded by dumb peers.
  
• The great thing about PGP email encryption jokes is that nobody can read their own encrypted email because it’s so unusable.
• The great thing about RFC 862 jokes is the great thing about RFC 862 jokes.
• The great thing about source routing jokes is that someone else get in trouble for telling them at your instigation.
• The great thing about DNS jokes is that they work on so many levels.
• The great thing about fragmentation jokes is
• The great thing about IGMP jokes is that you can be selective in who gets them.
• The great thing about ARP jokes is they’re unauthenticated.
• The great thing about IPv6 jokes is that there are so many of them.
• The great thing about ICMP error jokes is that nobody can ever reply to them.
• The great thing about UDP jokes is that even if you don’t get them, nobody notices.
• The worst part of SSH jokes is that, even when they’re not funny, you suck it up and just pretend they were anyway.
• The best thing about XMPP jokes is that you can tell when they’re available.
• The problem with greylisting jokes is, that you always have to tell them twice.
• The sad thing about Kerberos jokes is that you first have to buy a ticket to join the laughter.
• The problem with PGP jokes is that you need to gain everybody’s trust before they can laugh with it.
• The best GFW jokes are inaccessible from China.
• The sad thing about IPv6 jokes is that almost no one understands them and no one is using them yet.
• The best thing about proprietary protocol jokes is REDACTED. 
• The best thing about SMTP jokes is, you had me at HELO. 
• The best part about WAF jokes is there are a hundred ways to tell them, and everyone is sure to get them.
• The problem with git jokes is everyone has their own version.
• Everybody loves MitM jokes. Well, everybody except Alice and Bob that is.
• The worst thing about Perl jokes is that next morning you can’t understand why they seemed so funny.
• I don’t make SQLi jokes myself, I get them FROM USERS.
• The good thing about OTR jokes is that you forget the punchline afterwards.
• The best thing about Skype jokes is the ridiculous lengths they’ll go to, to be told at all.
• The best thing about mathematical jokes is left as an exercise for the reader.
• The best thing about Twitter API jokes is that you can only make 100 of them per hour.
• The problem with 802.11 jokes is that somebody far away is always listening.
• The problem with BGP jokes is the need for a local default joke, just in case you reject all of the other jokes coming in!
• The problem with telling NTP jokes is that you’re constantly adjusting your timing.
• The worst thing about HTML jokes is that your audience doesn’t always GET it.
• The good thing about pure functional jokes is, telling them has no side effects.
• The good thing about Twitter jokes is they’re so short.
  
• The problem with ASCII jokes is having to leave out the good bits.
• The bad thing about DVCS jokes is they’re all clones of each other …
• The best part about a CISSP joke, is you don’t have to know anything about security to get it.
• The problem with CSS jokes is that everyone understands them differently.
• The great thing about integer overflow jokes is that GCC doesn’t think they’re funny.
• The problem with standards jokes is that there are so many to choose from.
• The problem with IPv4 jokes is there aren’t enough for everyone.
• The problem with dining cryptographers network jokes is that you never know who told them.
• The problem with DRM jokes is that you can’t share them with your friends.
• The best part about TTL jokes is that they can only be told so many times.
• The problem with anonymity jokes is that any jackass can take the credit for them.
• The problem with TCP jokes is that people keep retelling them slower until you get them.
• The bad thing about Turing machine jokes is you never can tell when they’re over.
• The great thing about HTML jokes is that you’re never quite sure when they end.

Eine Zusammenstellung gibt es auch bei attrition.org.

Um Twitter entstehen immer mehr Dienste. Am bekanntesten ist sicher Twitpic, um Fotos zu twittern. Eine neue Idee ist nun, Filesharing per Twitter zu betreiben. Auf TwileShare loggt man sich mit seinem Twitter-Account ein und kann Bilder, Microsoft-Word- und PDF-Dateien hochladen. Jedem Nutzer stehen derzeit ein GigaByte zur Verfügung.

Dann fehlen nur noch:

• TwitTorrent
• TwiSCP und TwiFTP
• TwitDAV und TwitCat

via TechCrunch

Ein netter Twitter-Hack:

Falls ihr euch schon immer mal gefragt habt, wie man ein reguläres 17-Eck mit Zirkel und Lineal konstruiert. Hier ist die Lösung: