Navigatie overslaan.
Start

Security

warning: Creating default object from empty value in /var/www/drupal-6.38/modules/taxonomy/taxonomy.pages.inc on line 33.

GPU cracking

Daar waar vroeger het schaarse cijfermateriaal i.v.m. het cracken van password hashes in door overheden als fabeltjes werden afgedaan, zijn er gelukkig toch steeds meer en meer mensen die zelf beginnen te experimenteren en hun resultaten publiceren.

Resultaten waar diezelfde overheden nog steeds van duizelen, zoals onderstaande hardware die 348.000.000.000 NTLM hashes per seconde kan checken.

Spamfilters

Als je een secure mailsysteem wil opzetten, dan moet je natuurlijk niet zomaar mails van om het even waar aannemen.
Je weet nooit wie welke inhoud doorstuurd.

Spam kan je voor het grootste gedeelte tegenhouden met een deftige mailserverconfiguratie die bijvoorbeeld geen mails accepteert van TOR exit nodes, DHCP ip adressen, bogon netwerken, mailservers die zich onjuist identificeren, etc...

Voor het overige deel, kan je een spamfilter gebruiken.

Alias

Stel dat ik in Linux een bestand wil verplaatsen van het ene filesystem naar het andere.
Dat kan met het "mv"-commando.

Stel nu dat dat andere filesystem een NFS mount is via een VPN verbinding en eigenlijk aan de andere kan van de wereld staat. Veronderstel dan ook even dat het files van 30GB zijn.
Zou het dan niet leuk zijn om een of andere voortgangsindicator te hebben in hoeverre de bestanden al verplaatst werden?

Het "mv"-commando voorziet dat niet en op het eerste zicht lijkt dat een beperking.

OBD-II

Blijkbaar is de komkommertijd alweer begonnen en komt men met artikels af over het starten van BMW's zonder sleutel in minder dan geen tijd. Vrij logisch en niet enkel mogelijk met BMW's.

Keyless systemen:

Als je van 2-factor authentication (Fysieke sleutel en electronische handshake) naar single-factor authentication terugschakeld (enkel electronische handshake), dan wordt het makkelijker om de autenticatie te omzeilen.
I.p.v. terug naar een sleutel te gaan, hetgeen veiliger is, stapt men over naar "keyless systemen" die enkel electronisch bestaan.

Firewall niveaus

Niveau 1, 15 jaar geleden.

Men kan een bepaalde poort open zetten, bijvoorbeeld poort 80, met de bedoeling om HTTP verkeer mogelijk te maken.
Men kan echter ook andere protocollen dan HTTP doorheen poort 80 tunnelen en de firewall maalt daar niet om.

Niveau 2, 10 jaar geleden

Men kan een bepaalde poort open zetten en een protocol definiëren, bijvoorbeeld poort 80 en HTTP.
Indien men andere protocollen probeert te tunnelen, dan zal de firewall dit tegenhouden aangezien deze inspecteert of het verkeer wel de HTTP standaard volgt.

SHA1

Blijkbaar zijn de SHA-1 hashes van alle LinkedIn accounts gelekt: 6.458.020 stuks in totaal.

SHA-1 is natuurlijk al een stuk veiliger dan MD5, hetgeen niet meer van deze tijd is.
(Zelfs de autheur van Unix md5crypt vraagt met aandrang MD5 niet meer te gebruiken.)

Maar het onbegrijpelijke is dat alle LinkedIn passwords blijkbaar "unsalted" waren.
Meer nog, voor de meeste wachtwoorden hashes zijn de eerste 5 karakters vervangen door een "0".

Password salts zijn geen optie, het is een vereiste om wachtwoorden op een veilige manier te kunnen opslaan.
Dit is niet nieuw.

GSM netwerken slecht beveiligd

Blijkbaar is het weer komkommertijd want de kranten staan vol met artikels waaruit blijkt dat GSM netwerken slecht beveiligd zouden zijn. Blijkbaar willen de jaren 90 ook hun artikels terug.

De enige beveiliging die er in een GSM netwerk zit, is dat de beveiliging "geheim" is.
Dit noemt men "security by obscurity" en het is in het verleden telkens weer bewezen dat deze manier van beveiligen niet werkt en het een uitermate idioot concept is.
Zelfs eind de jaren 80, toen de GSM standaard er kwam, was dit een achterhaald idee.

Chip & Pin is broken

Wat velen reeds enkele jaren wisten, is nu ook in een mooie paper verschenen: Bankkaarten met chip waarbij je een pincode moet ingeven om een transactie te authenticeren zijn kapot.

Lees de draft van de paper hier: http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbro...

Het probleem is dus dat je transacties met een bankkaart kan doen ZONDER over een geldige pincode te beschikken.

1984

Anoniem zijn is vandaag de dag extreen moeilijk.

Er mogen in Europa dan niet veel echte grenzen meer zijn, maar deze zijn vervangen door camera's die nummerplaten scannen of databases die GSM locaties bijhouden. (Beide ook in real-time.)

Als je dan toch reist via trein of vliegtuig, dan ga je talloze keren je identiteitskaart of paspoort mogen tonen.

EV Certificates, nogmaals

Ik ben niet echt een fan van Verisign, en al helemaal niet van EV (Extended Verification) Certificates.

Nu heb ik ergens opgevangen dat de een of andere commisie in België die bepaalde regels oplegt voor bepaalde websites die voor een niet-onbelangrijk deel er baat bij hebben om veilig te zijn, aan het overwegen is om EV Certificates te verplichten.

Zij mogen natuurlijk doen wat ze willen, want de tijd dat mijn gemoedstoestand afhankelijk was van wat wildvreemden doen of laten, is voor mij al een tijdje voorbij.

Password checkers

Wat ik altijd al zo grappig heb gevonden, zijn de zogenaamde "password checkers" op het internet, bijvoorbeeld "http://www.securitystats.com/tools/password.php"

De bedoeling daarvan is, dat als je niet zeker weet of je wachtwoord veilig genoeg is, je dat daar kan ingeven, en dan zal je geïnformeerd worden of het een sterk of zwak wachtwoord is.

Eigenlijk is het heel simpel:

Verkiezingen

Binnenkort weer verplichte verkiezingen.

Sinds het electronische stemmen is de transparantie van de verkiezingen verdwenen, want hoe kan ik controleren wat er op die magnetische strip staat? Heel simpel: Niet!

RAID en partities

Ik dacht dat het triviaal was, maar men doet het bijna altijd verkeerd.
Dus hier is iets om in uw oorkes te knopen:

Een RAID volume mag je NIET partitioneren! (Disk partities, zoals met fdisk.)

Natuurlijk kan je dat wel doen, en zo goed als altijd doet men dat ook, maar dat is dus helemaal niet de bedoeling.
Hier is waarom:

We gaan ervan uit dat we een hardware RAID controller gebruiken in RAID-1 (Mirroring) met 2 harde schijven.
Er zijn 2 partities, een O.S. partitie, en een Data partitie.

Shit

25C3

Vorig jaar (in 2008) is er ook weer een Chaos Communication Congress geweest, voor de 25ste maal deze keer.
http://events.ccc.de/congress/2008/

Het thema was "Nothing to Hide".

Er waren 80+ lezingen op 4 (eigenlijk 3,5) dagen, maar helaas kan ik er maar 8 of zo per dag volgen. Ik moet ook eten enzo. ;-)
Normaal gezien komen binnen dit en een half jaar normaal gezien de video's wel on-line, dus dan kan ik alles zien wat ik gemist heb.
Nu ja "alles". Om voor de hand liggende redenen wordt niet alles op video gezet...

Inhoud syndiceren