Skip to content

Verschlüsselte Passwörter bei mutt

mutt ist ein E-Mail-Programm für die Kommandozeile unter GNU/Linux. Das Programm wird über die Tastatur bedient und über eine Textdatei konfiguriert. Wer das innerhalb einer Firma verwendet bzw. auf Rechnern mit mehreren Nutzern, wird vermutlich ein schlechtes Gefühl haben, dort Passwörter zu hinterlassen. Für den Versand von E-Mails bzw. den Zugang zum Mailserver per IMAP muss meist ein Passwort angegeben werden. Das steht standardmäßig im Klartext in der Datei. Wie kann man sich schützen?

Die Lösung ist ganz einfach: Passwörter werden mit GnuPG verschlüsselt und mutt angewiesen, die Datei zu entschlüsseln. In der Passwortdatei stehen die Passwörter in einem Format, welches mutt versteht:

set imap_pass=“MeingeheimesIMAP-Passwort”
set smtp_pass=“MeingeheimesSMTP-Passwort”

Anschließend wird dieses Datei mit GnuPG veschlüsselt. In die Konfigurationsdatei .muttrc kommt nun zusätzlich die Zeile:

source “gpg -d ~/.mutt/passwort.gpg |”

Beim Start liest mutt die Konfiguration aus und startet GnuPG wie angegeben. Es muss das Passwort zur Entschlüsselung eingegeben werden und fertig ist alles.

Natürlich ist es sinnvoll, seine Festplatte oder das Home-Verzeichnis zu verschlüsseln. Denn manchmal gibt es andere Programme, die solche Informationen ebenso im Klartext hinterlassen.

Vielen Dank an Rainer für den Hinweis!

Cypherpunks reloaded

Mehr als zwanzig Jahre ist es nun her, als sich eine Gruppe von Leuten auf einer Mailingliste »traf«. Die Cypherpunks diskutierten in den folgenden Jahren Kryptografie, Anonymität und andere Techniken zum Schutz der Privatsphäre. Letztlich ist über verschiedene Ecken auch Bitcoin ein Produkt der Cypherpunks-Zeit. Allerdings diskutierten die Teilnehmer nicht nur, sondern viel wichtiger, sie programmierten. Ein Spruch aus den Zeiten lautet: »Cypherpunks write code.«

Nun fand ich eine E-Mail in meiner Inbox, die das erneute Aufleben der Mailingliste ankündigte. Und prompt trudelten hier einige E-Mails ein. Wer also an den Themen Kryptografie, Politik und Privatsphäre interessiert ist, kann sich dort eintragen. Allerdings kamen früher recht viele E-Mails über die Liste und auch in den letzten Tagen erhielt ich recht viele Nachrichten. Ihr solltet also mit eurem E-Mail-Client gut filtern. :-)

Ich bin gespannt, ob die Liste neuen Drive gewinnt. Immerhin habe ich durch die Diskussion der letzten Tage ein paar Zufallszahlenerzeuger für den Rechner kennengelernt und habe nun was zum Testen.

Mails über Mails

Kürzlich mietete ich einen Rootserver und wollte den natürlich auch in Betrieb nehmen. Nach der Installation des MTA war ich doch ziemlich verwundert, dass es gleich massenhaft Verbindungsversuche gab. Auf den ersten Blick betrafen die allesamt die Domain whiskey-soda.de und wurden mit Relay access denied abgewiesen. Warum bekomme ich deren E-Mails? Ich warf einen Blick auf den MX-Eintrag und staunte nicht schlecht:

jens@nysaino: dig -t MX whiskey-soda.de
;; ANSWER SECTION:
whiskey-soda.de.        46300   IN      MX      10  aeon.zeitguys.de.

Der A-Record von aeon.zeitguys.de zeigt auf meinen Rechenr. Alles klar! :-(

Dadurch kamen täglich um die 4 000 E-Mails an. Also schreibe ich die Firma an und fordere sie auf, den Eintrag zu ändern. Keine Reaktion! Der whois-Eintrag hat noch eine Telefonnummer. Dort erfahre ich, dass die Firma früher unter der Nummer erreichbar war. Seit 2007 existiert Zeitguys angeblich nicht mehr. Ansprechpartner sind keine bekannt und weitere Kontaktmöglichkeiten scheint es nicht zu geben. Aber E-Mails kamen nach wie vor unentwegt. Was tun? Mögliche, sinnvolle LARTs wollten mir nicht einfallen.

Schließlich brachte eine Kontaktaufnahme mit deren Provider DD24 den erhofften Erfolg. Die Ansprechpartner der betreffenden Firma bekamen eine Frist gesetzt und der DNS-Eintrag wurde zu Fristende geändert. Jetzt lässt die Mailflut auch wieder nach und ich muss den Speicherplatz der Festplatte nicht mehr für sinnlose Logeinträge verschwenden. :-)

Fremde E-Mails lesen mit GMail

Du hast ein Konto bei Google Mail? Du loggst dich immer per SSL ein? Du denkst, niemand sonst kann deine E-Mails lesen? Falsch!

Bereits im letzten Jahr zählte der Hack zu den Top 5. Dabei ist es im Allgemeinen so, dass man von der Webseite, bei der man sich einloggt, einen Session-Cookie bekommt. Ein Angreifer fängt diesen ab und kann nun selbst mit dem Account arbeiten. Eigentlich sollte die Verschlüsselung per SSL/TLS die Sachen geheim halten. Aber:

[...] The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails.

When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account.

Dies schreibt Rober Graham in seinem Eintrag More SideJacking. Mike Perry, einer der Entwickler von Torbutton, fand heraus, dass einzig der Cookie mit dem Namen GX zur Authentifizierung benötigt wird. Dieser wird unabhängig von vorhandener Verschlüsselung gesendet. Weiter lässt sich der Cookie durch einen CSRF-Angriff über eine beliebige Webseite abfragen. Daher ist es äußerst empfehlenswert, die Cookies direkt nach Beenden von Google Mail zu löschen.

Die Forscher haben Google Mail als Beispiel benutzt. Natürlich gibt es viele andere Webseiten da draußen bei denen ein ähnlicher Angriff genauso gut funktioniert.

via Wired Blog

Disclaimer an E-Mails

Das Thema Disclaimer an E-Mails ist wahrscheinlich vielen von euch hinlänglich bekannt. Heute bekam ich eine E-Mail mit einem doch sehr interessanten Disclaimer:

From: foobar
Date: Wed, 5 Dec 2007 12:13:45 +0100 (CET)
To: jens
Subject: Information des FRZ

;; This buffer is for notes you don’t want to save, and for Lisp evaluation.
;; If you want to create a file, visit that file with C-x C-f,
;; then enter the text in that file’s own buffer.

Hallo,

wir wurden heute von ...

Ich glaube, da muss jemand noch lernen, mit dem Emacs E-Mails zu schreiben. ;-)

Zitat des Tages

Heute versuchte ich mit einem Bekannten M$ Outlook einzurichten. Er hatte mir bereits zu Anfang erzählt, dass er einige spezielle Features sucht und ich ahnte schon, dass das nicht möglich ist. Dieses bestätigte sich durch Googeln. Irgendwann meinte er frustriert:

Das ist ja wie ein russisches Radio. Die kennen auch nur Ein und Aus.

Das muss ich mir merken. :-)

tweetbackcheck