Der Arme ...

Header Protection in S/MIME und PGP

Interessantes Poster welches versucht die Problematik der nicht-geschützten Header bei S/MIME und PGP zu lösen. Ich frag mich sowieso warum sowas nicht standardgemäß bei S/MIME beispielsweise mit drin ist. Was sind die Argumente dies nicht zu tun? Irgendwie erinnert mich das an das Horton Principle:

Authenticate what was meant not what was said ...

Protokolle in Latex mit PGF und Tikz

Ich habe hier bereits vor längerer Zeit über das Designen von Krypto-Protokollen (oder Protokollen an sich) in LaTex geschrieben. Nun habe ich von jemandem bei uns am Lehrstuhl einen interessanten Tip bekommen:
Protokolle lassen sich anscheinend auch richtig nett mit dem PGF- und Tikz-Paketen visualisieren. Die Datei könnte wie folgt aussehen:

\documentclass[12pt,a4paper]{article}
\usepackage{tikz}

\usetikzlibrary{arrows,backgrounds,positioning,fit}
\newcommand{\data}[5]{
\draw [#1] (#3,#2) -- ++(#4-#3,0) node[midway,above] {#5} ;
}

\begin{document}
\begin{figure}[h]
\begin{tikzpicture}[>=stealth]
\newcommand{\1}{1}
\newcommand{\2}{2}
\newcommand{\3}{3}
\newcommand{\4}{4}
\newcommand{\5}{8}
\newcommand{\6}{12}
\sffamily
% Überschriften
\small
\draw (\2+0.5,0) node {\textbf{Browser}};
\draw (\5,0) node {\textbf{Relying Party}};
\draw (\6,0) node {\textbf{Identity Provider}};
% Teilüberschriften
\scriptsize
\node (a) at (\1,-0.5) {SSL};
\node (b) at (\2,-0.5) {SOP};
\node (c) at (\3,-0.5) {TLS};
\node (d) at (\4,-0.5) {TCP};
%\tiny
% Vertikale Hilfslinien
\foreach \x in {\1,\2,\3,\4,\5,\6}
\draw [help lines] (\x,-0.8) -- ++(0,-7.8);
% Protokollschritte
\data{->}{-1}{\1}{\4}{Start}
\data{<->}{-1.2}{\4}{\5}{TCP Handshake}
\data{<-}{-1.4}{\1}{\4}{Ready} \data{<->}{-1.8}{\1}{\5}{\hspace{3cm}Request-Data}
\data{<-}{-2.2}{\1}{\5}{\hspace{3cm}Redirect + ID$_{RP}$} \data{->}{-2.6}{\1}{\3}{Start}
\data{->}{-2.8}{\3}{\4}{Start}
\data{<->}{-3}{\4}{\6}{\hspace{4cm}TCP Handshake}
\data{<-}{-3.3}{\3}{\4}{Ready} \data{<->}{-3.5}{\3}{\6}{\hspace{1cm}SSL Handshake with Server
Authentication (pk$_{k}$)}
\data{<-}{-3.7}{\2}{\3}{pk$_{k}$} \data{<-}{-4}{\1}{\3}{Ready\hspace{1cm} } \data{->}{-4.4}{\1}{\2}{Req}
\data{->}{-4.6}{\2}{\6}{Req + Send-Data(c$_{k}$, ID$_{RP}$)\hspace{2cm} }
\data{<-}{-5.1}{\1}{\6}{\hspace{3cm}Redirect + Send-Data(pk$_{s}$ : c$_{s}$ = Enc$_{ks}$(ticket))} \draw [->] (\6,-4.6) arc (90:-90:5mm and 2.5mm) node [above right]
{\hspace{5mm}verify(c$_{k}$)};

\data{->}{-5.5}{\1}{\2}{pk$_{s}$ : c$_{s}$}
\data{->}{-5.9}{\1}{\3}{Start}
\data{->}{-6.1}{\3}{\4}{Start}
\data{<->}{-6.3}{\4}{\5}{TCP Handshake}
\data{<-}{-6.6}{\3}{\4}{Ready} \data{<->}{-6.8}{\3}{\5}{\hspace{1cm}SSL Handshake (pk$_{s}$)}
\data{<-}{-7}{\2}{\3}{pk$_{s}$} \data{<-}{-7.3}{\1}{\3}{Ready\hspace{1cm} } \data{->}{-7.7}{\1}{\2}{Req}
\data{->}{-7.9}{\2}{\5}{\hspace{2cm}Req + Cookie(c$_{s}$)}
\data{<-}{-8.4}{\1}{\5}{\hspace{3cm}Data} \draw [->] (\5,-7.9) arc (90:-90:5mm and 2.5mm) node [above right]
{\hspace{5mm}verify(c$_{s}$)};

\end{tikzpicture}

\caption{Interaction between different network modules in a browser to
enable the Strong Locked SOP}
\label{fig:SLSOP}
\end{figure}

\end{document}

Das ganze sieht dann aus wie auf diesem Bild hier:

Der kurze Ausflug nach Word - Pepper der Mann des Tages

Ich schlag mich seit Tagen mit dem Latex-Template von Springer rum und war mittlerweile schon so verzweifelt, dass ich nach M$-Word umgesattelt bin. Dort bin ich dann am Formeleditor verzweifelt ... btw. kann es sein, dass das Teil in der Default-Ausführung genau nix kann?
Nunja, der gute Pepper hat mir dann heute abend den ultimativen Lösungsansatz übermittelt nachdem das Template schon zu diversen Kollegen ging und die alle das ähnliche Problem hatten: Der Source kompiliert aber die Bilder werden nicht angezeigt ... ohne Fehlermeldung allerdings. :-/
Nun, der ganze Trick war wieder so trivial dass man sich im Endeffekt über die verschwendete Zeit aufregt:

Mache pslatex monosamp.tex und anschließend dvipdf monosamp.dvi anstatt pdflatex monosamp.tex.

Toll! Ich weiss, für die meisten unter Euch sagen jetzt "wusste ich sowieso schon, der Trottel". Bei mir war da ne Gedankensperre. :D Anyway ... nachdem ich das Grauen auf Seiten von M$-Word sehen durfte, fühl ich mich wohl wieder im Schosse Mutter LaTeX zu sein.

Das Grauen der Kinderpornosperren - aka. ich werde nie arbeitslos!

Wenn ich solche heise-Artikel lese, stellen sich meine Nackenhaare senkrecht auf. Es geht also um die Stoppserver ... sprich die Server, auf denen man landet, wenn man beispielsweise "Kinderpornoseiten" aufrufen möchte. Ich zitiere mal fix:

[...] auf den Stopp-Server zulaufenden Anfragen, also zum Beispiel die IP-Adresse des Nutzers, werden als Kopie live an eine Überwachungsanlage der Strafverfolgungsbehörde ausgeleitet und dort verarbeite

Okayy, das mit den Stoppservern hat sich bei mir sowieso noch nicht so ganz vertieft. Wie läuft das: Ich will Kinderpornoseiten aufrufen --> Provider schickt mich nach Stoppserver und loggt alles.
Weiteres Szenario: Ich rufe eine Webseite wie heise.de auf welches einen "illegalen" Link auf eine Kinderpornoseite beinhaltet --> Provider schickt mich nach Stoppserver und loggt sämtliche Daten ... zudem steigt die Chance, dass morgen unangenehmer Besuch ansteht. Klasse!
Irgendwie stinkt das alles gewaltig. Ich erbreche mal weiter ..

Falls das Gesetz wie geplant in Kraft tritt, sollte sich allerdings jeder Internetnutzer genau überlegen, ob er noch unbekannte Webadressen ansurft. Geriete man etwa versehentlich oder durch böswillige Hinweise provoziert zu einem Stoppschild, würde dann de facto eine Hausdurchsuchung oder Schlimmeres drohen. Auch dies bestätigte Staudigl: "Ob und gegebenenfalls wer sich strafbar gemacht hat, wird regelmäßig erst durch die sich daran anschließenden strafrechtlichen Ermittlungen geklärt werden können."

Ähh hallo? Haben die Herren und Damen Gesetzgeber auch schon etwas von CSRF bzw. XSS gehört? Ganz zu schweigen von simplen IFrames?
Wahrscheinlich werden unsere Behörden mit dem "strafverfolgen" nicht mehr nachkommen ...

Aber Vorsicht! Von der Leyen hat sich da was Tolles ausgedacht.

"Der zufällige Versuch, da machen Sie sich nicht strafbar. Sonst müsste jeder, der eine Spam-Mail bekommt oder etwas Falsches eingibt, sich sofort strafbar machen."

Oha! Dass Kinderpornoringe ausgeschaltet werden müssen steht ausser Frage!! Aber liebe Frau von der Leyen ... in was für ein Problem haben Sie sich da reinmanövriert. Wie differenziert man denn nun von "aktiv suchen" oder "aus versehen draufgelangt"?? Wo sind die technischen Grenzen gesetzt? Warum reden Sie bzw. fälle Urteile über Dinge die Sie nicht vollständig verstanden haben? Ist das nicht ein weiteres Argument dafür, dass es mit Deutschland "bergab" geht?
Nungut, bei solchen Nachrichten sollte ich in der nächsten Zeit nicht wirklich arbeitslos werden.

Flughafen Internet - und was man dafür tun kann

Abgesehen von der Hackerei der öffentlichen Internet-Kiosk Terminals, die sich oftmals schon mit einfachem XSS verulken lassen, bleibt einem für freies Internet an Flughäfen noch 2 weitere Möglichkeiten:
IP over DNS und IP over ICMP

Ich hab bisher noch keine der Möglichkeiten ausprobiert ... vielleicht kann ja jemand aus der Praxis berichten.

Mai - Monat der Konferenzen?

Wie Lefix das kürzlich erst richtig "getwittert" hat - der Mai ist der Monat der Konferenzen:
Los gehts mit dem BSI Kongress in Bonn wo wir fix nen kleines Poster vorstellen werden. Weiter gehts mit der D*A*CH Security 2009 hier in Bochum wo wir über automatisierten Identitätsdiebstahl in Social Networks reden werden und am Ende vom Mai gehts noch fix nen Wochenende nach Berlin zur ph-neutral.
Wird also recht stressig werden ...

Bilder vom Ostkustleden 2009 über Ostern

Ich war über Ostern mit Lefix und Niggels aus Stockholm ein paar Tage auf dem wunderschönen Ostkustleden unterwegs. Ich kann den Weg nur empfehlen wenn man wunderschöne Natur aber auch ab und an ein wenig Zivilisation braucht. Tilo hat schon einige Infos auf seiner Seite ... vielen Dank ihm für die Tips!
Ein kleinen Vorgeschmack was einen erwartet sollte dieses Video geben. :D



Fotos vom Trip gibts auf meiner Seite.

HSBC Subdomain gecracked

Wahh WTF? Geht mal bitte auf http://www.info.hsbc.com.sg/ und anschließend auf http://www.hsbc.com.sg. Ich würde sagen, da muss an der IT-Sicherheit fürchterlich nachgearbeitet werden. :|
Jetzt stellt sich nur die Frage, wann die ersten gefakten Login-Formulare dort gelagert werden.

Malware-Execution ohne Nutzereinwirkung

Sicherlich nicht neu, aber dennoch einschüchternd ist die Tatsache, dass Malware auch ohne "Doppelklick" getriggert werden kann. Didier Stevens hat das sehr anschaulich auf seiner Internetseite dargestellt und in folgendem Video veranschaulicht.



Benötigt wird also lediglich ein M$ Windows mit den verwundbaren Windows Explorer Shell Extensions. Mehr Infos zum Ablauf gibts hier ... fiese Brause!

Brainstorming: Distributed Computation für Kryptozwecke

Die Jungs auf Slashdot haben schon Recht: JS ist eine sehr weit verbreitete Scriptsprache ... jeder (fast :D) Browser spricht sie und daher liegt der Vorteil auf der Hand. Man hat ein riesiges Potential an Browsern, die für einen die Drecksarbeit erledigen. :D
Wörtlich hat man das auf dieser Webseite genommen. Geniale Idee eigentlich ... Hashcracking per JS. Allerdings muss man da schon eine riesige Menge an Browsern erreichen, dass es sich auch lohnt. Nutzer mit FF und NoScript-Extension kann man dann direkt abziehen.

Nein, JS für große Berechnungen zu nutzen ist ein netter Ansatz, allerdings nicht zeitgemäß. Was man will ist "parallel-computing und das auch noch distributed". Klingt nett, aber wie soll man das anstellen? JS ist da raus, definitiv. Selbst simples Threading ist in JS immernoch ein Tanz mit dem Teufel.

Bleibt noch Flash!
Flash hat Potential und wird mit neuen Funktionen stetig weiter ausgebaut. ActionScript bietet zudem die Möglichkeit, das ganze in Programmcode zu fassen. Um den Anschluss an die Krypto-Idee nicht zu verlieren:
Mit AS wird bereits mächtige Krypto berechnet ... siehe hier und hier. Es bleibt zuletzt die Frage ... wie man nun das ganze parallelisieren kann. Einen Ansatz dazu gibt es ... aber der wird ein anderes mal verraten. :D
Any comments?

Celebrity-Veranstaltung "State of Trance 400" - Armin van Buuren

Ich war dort letzte Nacht - bis morgens um 7 Uhr. Ich will nicht so schlecht über die Party reden, aber ich war schon ein wenig enttäuscht. Letztendlich wars eine Celebrity-Veranstaltung. Armin is nen cooler Typ, seine Musik kommt auch gut, aber die Leute die dort waren gingen teilweise gar nicht.
Anstatt Party zu machen stand man "kühl" rum und versuchte möglichst viel Bilder mit der Cam zu machen - lame! Die Party kriegt von mir daher lediglich ein "befriedigend", aber auch nur, weil die no-name-DJs im Nebenraum recht gut gerockt haben. Hmm ... und dafür hab ich mir jetzt eine Nacht um die Ohren geschlagen und 16,50 ,- Euro investiert.

Universitätsprofessor erfindet "Meisterschule"

An meiner "fast-elite" Universität gibt es einen Professor, der jetzt die "Meisterklasse" der Studenten einführt. Diese Grafik trifft es nicht schlecht auf den Punkt.

Interessant ... :D

Verwirrt mit OpenVPN?

Da ich grad ein wenig DAU-Doku für OpenVPN Installation etc. raussuchen musste ... hier ein nettes Bildchen:

Delphinshow im Duisburger Zoo

Ich war kürzlich mit meiner besseren Hälfte im Duisburger Zoo und hab mir dort unter anderem die Delphinshow reingezogen. Ein kleines Video dazu gibts hier:



Der Zoo an sich ist wirklich sehr empfehlenswert, auch wenn nicht wirklich billig und die naheliegende Autobahn reichlich nervt. Trotzdem ... sehenswert!

Ubuntu Manga auf englisch

Cent hat mal wieder was Interessantes gebloggt:
Es gibt jetzt ein englisches Ubuntu-Manga. Ich kann zudem Cents Meinung teilen ... das Ganze ist nicht wirklich spektakulär, aber es gibt sicherlich Leute die das anders sehen.

Kommentare zu Ghostnet-Warcraft Sache

Zu meiner kürzlichen Vermutung zwecks der GhostNet-Warcraft-Sache hats auf thedarkvisitor.com ganz nette Kommentare. Anscheinend supportet man dort meine These...

Ghostnet Trace daddelt Warcraft3? :D

Auf thedarkvisitor.com gibts nette Bildchen von Ghostnet-Traces ...

Wenn das keine Ähnlichkeit mit dem hier hat ...

Nightwash in Bochum

Ich war grad dort; Nightwash in Bochum ... und es war geil! Nach anfänglichen Witzen die teilweise doch ziemlich sehr ins Leere gingen lockerte sich die Stimmung gegen Ende. 20,- Euro pro Person waren also nicht falsch investiert. Vor allem der Moderator Marius Jung hat die Sache echt lohnenswert gemacht.
Einziges Manko: Die ganze Sache ist zu kommerziell ... mit Buffett, Drinks usw ... ätzend. 20 Waschmaschinen wären mir da schon lieber gewesen.

Pinpop.com will Deine PINs

Vielleicht ist das ja was für einen für Euch: pinpop.com will Eure PINs um damit Wissenschaft zu betreiben. :D
Es soll vor allem helfen, VOIP Services sicherer zu machen ... nen extra Tool um die PIN-Belegungen aus der Asterisk-Conf zu lesen gibts auch. Leider sind nicht wirklich viele Infos verfügbar, was nun wirklich mit den submitteten PINs passiert.

Wüsten-Videos

Ich bin grad dabei mit einem Kollegen eventuell wieder ne größere Tour zu planen - wird wohl ne 2er-Wüstensache werden. Dafür gibt es keine bessere Quelle als Michael Martin ... welcher so ziemlich in fast jeder Wüste auf unserem Planeten bereits war.
Ich hab auf 4-seasons.tv ein paar Filmchen von ihm gesehen ... sehr sehenswert!

BH Videos online

Die Videos der BH USA 08 sind online und stehen zum Download bereit.

April-Scherz Statistik von Outdoorseiten.net

Bei meinen Outdoorleuten haben wir nen netten April-Scherz abgefahren heute:
Outdoorseiten.net sollte angeblich von globetrotter.de übernommen worden sein :-) Das geniale an dem Scherz war, dass Globetrotter.de mitgespielt hat und eine offizielle Pressemitteilung auf Ihren Webseiten veröffentlichte.
Wir seitens Outdoorseiten.net haben alle Domains auf unseren Blog umgeleitet ... und die Folgen waren fatal!
Hier mal eine kleine Statistik ... der Zugriffe vom 1.April 2009:

Gegen 0 Uhr werd ich die Domains wieder umschieben uns alles wird so sein wie früher :).
Hier die heutige globetrotter.de Webpräsenz.

Anscheinend gab es sogar Anrufe bei der Globetrotter-Hotline, ob die Meldung denn real wären :D eieie ...