Page2RSS

Es soll ja immernoch Webseiten geben, die keine RSS-feeds anbieten. Is ja auch nicht schlimm, allerdings machen RSS-Feeds das Lesen einfacher und angenehmer. Man muss lediglich den diff zwischen den beiden Feed-Dateien lesen.
Für Webseiten ohne RSS-Feed gibt es ein nettes Feature: page2rss.com
Gewünschte Webseite eingeben, individuellen RSS abonnieren und gut is ...

Privacy preserving peer-to-peer data sharing

Schaut Euch das mal an ... interessant.

Protokollanalyse mit der Induktiven Methode

Es gibt ja bekanntlich verschiedenste Möglichkeiten der Protokollanalyse. Als die Hauptmethoden sind das formale Modell von Dolev-Yao und das "computational" Modelle zu nennen (dazu könnte man beispielsweise das RandomOracle zählen).
Eine Subkategorie des Formalen Modells ist die induktive Methode. Isabelle ist beispielsweise ein Theorem Prover welcher bei der induktiven Methode sehr behilflich sein kann, um gewisse Schritte zu automatisieren.

Ich will hier mal ein primitives Protokoll mit dem zugehörigen Induktiven Modell vorstellen.
Wie hier leicht zu sehen ist besteht das zugehörige induktive Modell aus 5 Regeln.

1. Regel: Nil
Die erste Regel Nil sagt lediglich aus, dass ein leeres "Trace" auch zum Protokollmodell gehört. Ein Trace wird wie folgt definiert:

"Given protocol, a trace is one possible sequence of events, including attacks."

2. Regel: Fake
Diese Regel erlaubt es einen Angreifer, auch Spy genannt, falsche Nachrichten mit Hilfe von abgehörten Verbindungen zu erzeugen. Die Begriffe synth, analz und spies werde ich hier nicht erklären, aber man kann sich ja denken was dies bedeutet.

3. Regel: DSP1
Diese Regel spezifiziert die erste Protokollübertragung in der A einen Nonce wählt und diesen mit seiner Identität an B überträgt. Interessant ist hier vor allem die Definition für den Nonce. Er darf in keinem bisherigen Protokollablauf genutzt worden sein. Zudem ist noch zu sagen, dass diese Regel keine Vorbedingung mit sich bringt, wie es in der 4. Regel der Fall ist.

4. Regel: DSP2
Diese Regel spezifiert die 2 Protokollübertragung in der B die erhaltene Nonce und einen frischen Session-Key mit seinem privaten Schlüssel signiert und an A überträgt. Bedingung ist allerdings, dass B mit den Daten aus DSP1 gefüttert wird. Interessant ist hier Formulierung für einen frischen Session-Key.

5. Regel: Oops
Ja, diese Regel sagt genau das aus, was ihr Name assoziiert. Da in unserem Beispielprotokoll ein Session-Key übertragen wird, brauchen wir eine Regel für den möglichen Verlust. Das heisst, wenn ein Teilnehmer den SK verlegt, verliert etc ... greift die Oops-Regel. Sie sagt aus, dass der Spy in unserem Fall den Nonce und den Key aufnehmen kann.

Das Dolev-Yao-Thread Modell

Ihr habt Euch sicherlich auch schonmal gefragt, warum man beispielsweise bei der Analyse kryptografischer Protokolle das Threat-Modell so wählt wie man es wählt:

1. Der Angreifer ist ein legitimer Teilnehmer des Protokolls
2. Er kontrolliert den Netzwerktraffic - kann Nachrichten ändern, löschen, umleiten usw.
3. Er kann letztendlich alle Nachrichten verarbeiten und Angreifern, ausser Kryptoanalyse!
   

Die einzige Einschränkung ist also, dass Verschlüsselungen als sicher angesehen werden. Und wem haben wir das Ganze zu verdanken? :D
Genau, Dolev und Yao ... mit ihrem Papier "On the security of public key protocols" aus dem Jahre 1983.

HOL = Functional Programming + Logic

Ich will hier noch fix eine sehr gute Einführungsdoku zu HOL - High Order Logic im Zusammenspiel mit Isabelle verlinken. Sehr feine Doku ... empfehlenswert!

Vorsicht! World 2.0 goes Smart Grid!

Omfg, eigentlich fehlen mir da die Worte! Irgendwie krieg ich soeben nen deja-vue ... man schmeisst erstmal Systeme auf den Markt und wundert sich dann nach einer Weile, dass es auch noch sowas wie Sicherheitsanforderungen gibt, die man bei der Konzeptionierung überhaupt nicht bedacht hat! Ha!

Isabelle Theorem Prover - Installation unter MacOS X

Ich wage die ersten Schritte mit meiner neuen Freundin Isabelle ... ein hübsches, schlankes Unix Programm welches mir hoffentlich viel Arbeit abnehmen wird. Und Isabelle kann eine Menge ...

Isabelle is a generic proof assistant. It allows mathematical formulas to be expressed in a formal language and provides tools for proving those formulas in a logical calculus.

Die Installation is recht einfach unter Mac OS X. Hier ne fixe Zusammenfassung - quick Install.

1. sudo port install xemacs (X11 sollte installiert sein)
2. * tar -C /usr/local -xzf Isabelle2008.tar.gz
   * tar -C /usr/local -xzf ProofGeneral.tar.gz
   * tar -C /usr/local -xzf polyml_x86-darwin.tar.gz
   * tar -C /usr/local -xzf HOL_x86-darwin.tar.gz
   Die infos mit Downloadlinks gibts auch hier.
3. cd /usr/local/Isabelle/bin
   
4. ./isatool install -p /usr/local/bin/ (mehr infos hier)

Anschließend sollte man sich in erster Linie darum kümmern, dass der ProofGeneral sauber rennt. Dieser ist sowas wie ein Plugin für emacs.
Den Source bzw. die vorcompilierten Bins haben wir oben bereits runtergeladen und entpackt. Nun gibts einen Hinweis, dass man die Packete allerdings nochmals neu kompilieren soll, also wechseln wir ins ProofGeneral-Verzeichnis und ...

1. make clean; make compile EMACS=xemacs

Läuft das alles sauber durch, müssen wir lediglich unserem xemacs noch sagen, dass er den ProofGeneral bei jedem Start mitladen soll. Also, wenn bereits vorhanden ...

1. ~/.xemacs/init.el fügen wir folgenden Code hinzu:
   (load-file "/usr/local/ProofGeneral-3.7.1/generic/proof-site.el")

So, jetzt müsste alles soweit sein und wir können unser Babe starten:

1. /usr/local/Isabelle/bin/Isabelle -p xemacs

Euer emacs sollte nun wie dieses Bild hier aussehen:

Und anschließend auf dieses hier wechseln:
Falls ja, Glückwunsch! Ihr habt Isabelle erfolgreich installiert ... falls Nein, viel Spaß beim Doku wälzen. :D

Paper Review: The Evolution of the Kerberos Authentication Service

Das Papier ist "uralt", allerdings rückt es immernoch aktuelle Problematiken in den Vordergrund. Ich hatte beispielsweise kürzlich auf dem DFN-Workshop erst eine interessante Diskussion über "nur verschlüsseln wenn notwendig oder per default immer". Dies wird in diesem Papier auch aufgegriffen.
Das Papier im allgemeinen geht aber auf Änderungen von Kerberos zwischen Version 4 und 5 ein.
Ich zitiere von Seite 5:

[...] There is no need to encrypt it in the message from the KDC to the client, and doing so can be wasteful of processing time if encryption is computationally intensive (as will be the case for most softwarebased encryption implementations; see [Mer90] for discussion of fast software-based encryption methods).

Man hat wohl auch beschlossen, auf Grund von überflüssigem Rechenaufwand auf die unnötige Verschlüsselung zu verzichten . Dies bestätigt mich in meiner Meinung, dass nur verschlüsselt werden sollte, wenn dies auch benötigt wird.

Flash, JavaScript und PDFs analysieren

Auf wepawet.iseclab.org kann man eine verdächtige Quelle nach Malware untersuchen lassen. Ich hab den Service jetzt schon 2-3 Mal für malicious JS benutzt und bin soweit sehr zufrieden. Natürlich ist die automatische Erkennung teilweise nicht wirklich ausreichend, aber gerade verschleiertes Javascript wird recht gut offengelegt.

SSLScan - was kann Dein SSL?

SSLScan determines what ciphers are supported on SSL-based services, such as HTTPS. Furthermore, SSLScan will determine the prefered ciphers of the SSL service.

Mehr infos gibts hier.

uCon Conference Material online

Falls es wen interessiert: Das Material der uCon 2009 ist nun online. Reinschauen lohnt eventuell.

Blowfish und Jack Bauer

Laut Schneier ist Blowfish jetzt das zweite mal schon in 24 genannt bzw. geknackt worden. Diesmal anscheinend in Staffel 7 - Episode 14. Also merken wir uns:
Nen Level-6 Analyst vom FBI knackt blowfish in rund 30 Sekunden ... und er hat auch noch ne hübschere GUI als alle anderen. :)
Den Ausschnitt kann man sich hier und hier anschauen. Sehenswert! :-)

Zurück vom DFN aus Hamburg

Der 16. DFN Workshop "Sicherheit in vernetzten Systemen" ist vorbei und ich bin soeben aus Hamburg wieder eingetrudelt. Ich habe hier ja bereits erwähnt, dass Hamburg total rockt! Sehr genial Stadt ... hat sich diesmal wieder bestätigt.
Zum DFN Workshop gibts eigentlich nur eins zu sagen: Super! Wirklich ... es hat alles gepasst. Die Veranstalter sind super nett und hilfreich, die Location war genial und die Thematiken auch sehr interessant. Alles in allem sehr gelungene Veranstaltung die man ohne Zögern weiterempfehlen kann. Selten so eine super Veranstaltung gesehen ...

PS:
Streaming gibts hier ...

R Statistik Suite

R ist anscheinend nicht nur eine Suite sondern auch eine Sprache. Auf den Webseiten des R-Projektes gibts jede Menge Informationen über die Suite und die Sprache. Auch die manuals-Sektion ist recht gut bestückt.
Der Source ist frei verfügbar, somit kann man das Tool für sämtliche Plattformen selbst bauen. Bücher auf deutsch über die Programmiersprache R gibts anscheinend auch.

BBC - der neue Botnetz-Master

"Hier wurde kein Amoklauf angekündigt, es gibt hier nur Leute, die mit Photoshop umgehen können."

*kopfschüttel*

3sat meets outdoorseiten.net

In der Outdoor-Community outdoorseiten.net wo ich nun seit mehr als 7 Jahren mehr oder weniger aktiv bin bzw. deren Verein ich mit gegründet habe, gab es ein nettes Projekt:
Die Community entwickelt zusammen mit einem Zelthersteller (Wechsel Tents) ein eigenes Zelt. Es ist also so, dass nicht mehr der Hersteller selbst das Zelt entwirft, sondern die Community die komplette Planung und Konzeption übernimmt (Web 2.0 Feature :D)
Thorben hat das nun in einer Sendung auf 3sat nochmals genau dargestellt. Das Video dazu gibts hier. Nice work!

Indien 2009 Bilder online

Ich habs endlich mal geschafft, ein paar Bilder unseres Indien-Trips online zu stellen. Die Auswahl ist wohl nicht die beste, aber aus knapp 3000 Bildern die Highlights rauszusuchen ist sehr zeitaufwendig. Anyway ... hier gehts zu den Pics.

Zensur und ChildPorn-Problematik

Ich kenne/lese Blogs/Seiten von Leuten im Netz, die zwar Informationen über diese Thematik besitzen, sich aber nicht trauen sie zu veröffentlichen, da man ja sehr schnell zwischen die Räder der Ermittlungsbehörden kommt.
Ich will hier auch nur auf einen Link auf Wikileaks hinweisen, der einen Artikel eines Insiders abdruckt. Dort wird ausführlich beschrieben was das eigentliche Problem ist - warum Zensur wahrscheinlich der falsche Weg ist usw. Interessant sind vor allem die technischen Aspekte. Allerdings ändert das nichts an der Tatsache, dass Kinderpornografie wahrscheinlich eines der abscheulichsten Verbrechen überhaupt ist und man nach wie vor hart gegen "Konsumenten" vorgehen sollte. Ob Zensur da allerdings der richtige Weg ist ... bleibt imho sehr fraglich.

Tzz ... haben wir das nicht schon 2006 gesagt?

Is ja echt lustig ... endlich kommen Serverbetreiber von E-Commerce-Anwendungen (und Bankenanwendungen) auch auf die Idee, auf den unteren Layern zu fingerprinten. Lefix hat das bereits recht nett ausgedrückt. Alles alter Cafe, wir haben das bereits 2006 gepredigt ... :D

Abgefahrene ToorCamp Location

Das diesjährige ToorCamp hat anscheinend ne abgefahrene Location: in einem Titan-1 Missile Silo. Wir erinnern uns? Titan-1 waren die alten Trägerraketen für nukleare Sprengköpfe ... mehr Bilder und Infos des Camps gibts hier.

Unsichere Webanwendungen für Lernzwecke

Für diejenigen, die gerne mal mit Webanwendungen und ihren Sicherheitslücken spielen, hat irongeek.com eine Liste von Scripts online gestellt, die explizit für Lernzwecke unsicher gemacht wurden. Solche Systeme haben auf jeden Fall diverse Vorteile. Beispielsweise geht man nicht das Risiko ein, bei eventuellen "Versuchen" etwas kaputt zu machen ... oder sogar etwas Illegales zu tun. Ein paar Beispiele wären ...

http://www.badstore.net/
http://www.ethicalhack3r.co.uk/damn-vulnerable-web-app/
http://suif.stanford.edu/~livshits/securibench/
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
http://www.mavensecurity.com/WebMaven.php

Weiter Infos, auch zu Live-CDs etc. gibts hier.

Inline Hardware Privacy Adapter

Die Idee ist irgendwie genial: Man nehme einen "Hardware Privacy Adapter", stecke ihn zwischen sich und der nächsten Netzwerkkomponente und schon surft man anonym über TOR oder OpenVPN.

JanusPA is an easy to use, inline, hardware Privacy Adapter! Just plug it in, power it up, and you're traffic becomes anonymous.

Soweit die Theorie. Man sollte das Teil wirklich mal ausprobieren. IPv6 wird nicht bzw. noch nicht supported. Schade, dass keine Baupläne online sind ...150$ ist schon ne Menge für so ein Feature.

Das 1-mal-1 von .htaccess

Aus gegebenem Anlass hier ein netter Link zu einem .htaccess-Einmaleins. Nix Besonderes aber es kann doch ab und an mal ganz hilfreich sein. :D

Full Disk Encryption für OS X?

Ja, gibt's bisher nicht, ich weiss. Schade eigentlich ... File Vault is da ja mehr so ne "Übergangslösung" zu was "Gescheitem".
Dieser Meinung ist auch L33tdawg in seinem interessanten Artikel über die zwei kommerziellen FDE Lösungen für Mac OS X. Sollte man sich mal durchlesen ...

Insecure Magazin 2009 Ausgabe

Nur ganz fix zur Info: Die März Ausgabe des INSECURE Magazins ist raus. Hab selbst noch keine Zeit gehabt reinzuschauen, aber werd ich sicherlich die Tage machen ... Themen wie Mac OS X Sicherheit und Twitter werden anscheinend behandelt. PDF zum Download gibts hier.

Web Hacking Incidents Database 2008 Annual Report

Die WHID (Web Hacking Incident Database) versucht gravierende Vorkommnisse im Web-Sicherheitsumfeld zu protokollieren. Die Seite ist also durchaus einen regelmässigen Besuch wert. Nun kann man sich den Bericht 2008 als PDF runterladen. Zu finden ist die Datei als direkter Download hier.
Krass ist doch, dass Defacements in 24% der Fälle das eigentliche Ziel einer Attacke sind. Diese Tatsache ist für mich persönlich nur schwer nachzuvollziehen.
Der Bericht beinhaltet noch das ein oder andere interessante Faktum ... also einfach mal reinschauen.