Alex' blog (Artikel mit Tag kryptographie)

Neue Hakin9-Ausgabe: Nr. 35 / 05-2008

nospam@example.com (Alex) — Fri, 22 Aug 2008 22:13:43 +0200

Ich bin mal wieder in der neusten Ausgabe als Autor vertreten. Dieses Mal mit dem kurzen Tool-Artikel "Dnsmap", welcher schon in der vorletzten Ausgabe für die letzte Ausgabe angekündigt war. An mir liegt diese Verspätung allerdings nicht !
Der in der letzten Ausgabe versprochene Tool-Artikel zu "Verinice", einem ISMS-Tool, fehlt. Dies liegt aber auch nicht an mir. Vermutlich kommt dieser Artikel in der nächsten Ausgabe Anfang November.

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Angriffserkennung über Benutzerverhalten
Schwachstellen in Webanwendungen
Apache Basisschutz
IPv6 Superworm aka Teredo
Sprachstörungen - Netzwerke unter Beschuss
E-Mail-Sicherheit
Advanced Encryption Standard AES
Weiterbildung mittels Security-Zertifizierungen
Evolution der IT-Sicherheit
EVB-IT
Wenn der Kunde zum König wird

Beim Durchblättern ist mir bereits aufgefallen, dass Yannick von Arx, der Autor des Artikels "Weiterbildung mittels Security-Zertifizierungen", überhaupt nicht auf Zertifizierungen zum Auditor nach ISO 27001 respektive BSI-Grundschutz eingeht.
Eigentlich schade darum, aber Zertifizierungen dieser Art sind eher weniger etwas für einen selbst. Vielleicht ist das der Grund, weshalb er diese in seinem Artikel vernachlässigt hat.

Firefox 3.0 und CAcert-Probleme

nospam@example.com (Alex) — Sat, 22 Mar 2008 22:10:00 +0100

Ich habe mir vor einigen Tagen die neuste Vorab-Version von Firefox 3.0 angeschaut. Die Neuerung "ausführliche Zertifikatsfehlermeldungen" ist immer noch enthalten.

Das gibt, wie ich hier schon einmal erwähnt hatte, auf jeden Fall Probleme für Betreiber von Webseiten mittels CAcert-Zertifikat (oder einem self-signed Zertifikat).

Da der Nutzer nicht mehr zur Interaktion gezwungen wird, wie eins mit dem Dialogfeld, dessen Voreinstellung das temporäre Erlauben der Webseite gewesen wäre, werden sicherlich viele Nutzer die Webseite verlassen, bevor sie sie richtig aufgesucht haben.

Da CAcert als CA auch im Firefox 3.0 noch nicht dabei sein wird (abgesehen von einigen Linux-Distributionen, die CAcert als CA gleich dazupacken), werden meiner Ansicht nach viele Nutzer aus Sicht des Betreibers einer Webseite ausgesperrt werden. Andererseits ist es eine ausführliche Warnung natürlich besser für die Sicherheit.

Wenn ein Nutzer nun das Zertifikat akzeptieren will (egal ob temporär oder permanent), so durchläuft er folgende Screenshot-Abfolge:

Schritt 1:

Schritt 2:

Schritt 3:

Schritt 4:

Anzahl nötiger Klicks bei permanenter Annahme des Zertifikats: 4
Anzahl nötiger Klicks bei temporärer Annahme des Zertifikats: 5

Zudem hat sich die Voreinstellung für die Annahme des Zertifikats unbekannter CAs geändert: die neue Voreinstellung ist "permanent". Nicht mehr "temporär".

GnuPG und Psi 0.11

nospam@example.com (Alex) — Sat, 02 Feb 2008 02:45:00 +0100

Eigentlich bin ich seit langer Zeit nach einem brauchbaren Instant Messaging Client, der nicht vor Fehlern strotzt und Jabber beherrscht. Nach einer ersten Sondierung blieben eigentlich nur Gajim und Psi übrig.

Was ich auch von dem Client erwarte ist die Jingle-Unterstützung, eine Rechtschreibprüfung (deutsch, englisch und französisch) sowie GPG-Verschlüsselung (zusätzlich zur serverseitigen SSL/TLS-Verschlüsselung). Zudem sollte die Software deutschsprachig sein.

Das alles funktionsfähig und brauchbar unter einen Hut zu bringen scheint gar nicht so einfach zu sein, wie man zuerst glauben mag.

Momentan bin ich (wieder) auf Psi in Version 0.11 hängengeblieben, auch wenn Gajim besser Avatare unterstützt und LaTeX-Code ermöglicht. SSL/TLS funktioniert. Eine deutsche Lokalisierung habe ich nach langem Suchen auch gefunden und ist für alle Windows-Benutzer verfügbar. Mit Lokalisierungen hat es Psi in letzter Zeit echt nicht ...
Eine funktionierende Rechtschreibprüfung habe ich momentan noch nicht. Darum kümmere ich mich als nächstes. Wie ich die Jingle-Erweiterung einrichten kann, kommt danach.

Zuletzt habe ich mich mit der Einrichtung von GnuPG beschäftigt. Hier gibt es unzählige falsche Anleitungen im Netz für Psi, wie ich leider feststellen musste. Aber hier ist ~~eine~~ meine Anleitung, die mit Psi 0.11 und GnuPG 1.4.8 unter Windows XP funktioniert:

GnuPG-Paket auf gnupg.org herunterladen.
GnuPG-Paket mit Administrator-Rechten installieren.
Als Administrator den Installationspfad bis zur Datei gpg.exe in die "Path"-Umgebungsvariable übernehmen.
Psi-Paket herunterladen.
Psi-Paket mit Administrator-Rechten installieren.
GnuPG ggf. konfigurieren und Private Key erstellen.
Account in Psi anlegen/einrichten und Private Key auswählen.
Psi-Kontakten ihren passenden Public Key zuweisen.
Verschlüsselung pro Psi-Kontakt beim Chatten aktivieren.

Das Wichtige ist hierbei tatsächlich nur die Umgebungsvariable "Path". Sämtliche REG_SZ-Zeichenketten in der Registrierungsdatenbank kann man sich sparen. Diese Tipps sind entweder hoffnungslos veraltet oder einfach nur falsch.

Speedport W 500V Umbau

nospam@example.com (Alex) — Mon, 23 Apr 2007 23:32:39 +0200

Da die Preise für einen neuen Speedport W 500V immer noch sehr niedrig sind bzw. mir zu niedrig sind, verkaufe ich diesen Router überhaupt nicht mehr. Ich brauche ihn zwar nicht, aber vielleicht einmal als schnellen Ersatz.

Da der Router laut der OpenWRT-Seite bislang noch nicht getestet wurde, habe ich zuerst einmal nur die mod 500 Firmware eingespielt. Als nächstes werde ich versuchen aus Studienzwecken einen Honeypot (z.B. Nepenthes) darauf zu installieren.

Mal sehen, wer mitten in der Innenstadt Mannheims einen offenen WLAN-Router benutzen möchte (Internet über WAN ist keines vorhanden).

Wahrscheinlich werde ich aber recht schnell OpenWRT darauf installieren. Falls es nicht anständig klappen sollte, so wäre es bei einem Marktwert von um die sechs EUR auch nicht schlimm.

Mehr Sicherheit ohne LM-Hash - Korrektur

nospam@example.com (Alex) — Thu, 19 Apr 2007 14:24:28 +0200

Die PC-Fachzeitschrift PC-Welt hat in ihrem heutigen Tipp des Tages einen Fehler begangen und hier ist die Korrektur dafür:

Der Schlüssel heißt nicht:

HKEY_Local_Machine\System\CurrentControlSet\Controlsa

sondern:

HKEY_Local_Machine\System\CurrentControlSet\Control\Lsa

Diesen (alten) Tipp sollte aber jeder Windows-Administrator bereits kennen.

TrueCrypt in neuer Version

nospam@example.com (Alex) — Wed, 21 Mar 2007 01:30:24 +0100

Seit vorgestern gibt es, wie erwartet, eine neue Version von TrueCrypt zum Download. Das Open Source-Verschlüsselungstool bietet aber leider in der neusten Version, keine besonders große Anzahl an neuen Features, die man als unbedingt notwendig betrachten müsste.

Die Version für Mac OS X lässt leider immer noch auf sich warten, wie die TrueCrypt API und RAW-Support für CDs / DVDs.

TrueCrypt ist soweit die einzige sehr brauchbare Lösung, die problemlosen Dateiaustausch in verschlüsselter Form über Partitionen bzw. Container in Cross-Plattform-Umgebungen erlaubt. Wenn Mac OS X endlich dazu stoßen würde, würde das Gesamtbild abgerundeter wirken. Wie es sich mit TrueCrypt und bspw. FreeBSD verhält, weiß ich nicht. Aber wahrscheinlich lässt sich TrueCrypt dort recht leicht zur Zusammenarbeit überreden.

In Hinblick auf die Sicherheit von TrueCrypt gibt es ebenfalls nichts über Änderungen zu berichten, was in diesem Fall natürlich sehr positiv ist. Lediglich einige übliche Verschlüsselungsalgorithmen, wie z.B. Blowfish und 3DES, wurden entfernt. Volumes, die diese Algorithmen bisher verwenden, können noch immer mit der neuen Version von TrueCrypt gemountet werden. Allerdings können mit der Version 4.3 keinen neuen Volumes mehr mit diesen Algorithmen erstellt werden.
Die meisten Neuerungen, die die neue Version betreffen, sind zumeist Anpassungen an Windows Vista von Microsoft.

Weitere Informationen zur neuen Version findet man auf der offiziellen Webseite.

NDS mit NoPass für Homebrew

nospam@example.com (Alex) — Wed, 31 Jan 2007 11:54:28 +0100

Nachdem jetzt jemand die verwendete Verschlüsselung vom Nintendo DS reverse engineered hat und es auch die sogenannten NoPass-Module offiziell im Laden zu kaufen gibt, hat auch Datel diese Funktion in ihr bekanntes Produkt Action Replay Max integriert. Angeblich lässt sich beim Starten der Version 1.02 (und höher) des Action Replays durch das Drücken von [SELECT] diese Funktion aktivieren.

Wer nun einen GBA Movie Player besitzt, der je nach Ausführung einen anderen Speicherkarten-Typ (CF, SD, etc.) aufnehmen kann, kann so einfach eigene Homebrew-Software starten und auf dem DS ablaufen lassen.

Da ein neuer GBA Movie Player auf eBay für den gleichen Preis (oder teurer) zu haben ist, würde ich hier lieber zum MP3-Player für den DS greifen, sofern die oben beschriebene Prozedur damit auch funktioniert. Vielleicht kann das ja jemand mal testen, der beides schon besitzt.

Der MP3-Player für den DS besteht ja nur aus dem GBA-Modul für die SD-Speicherkarte und die Abspielsoftware ist im GBA-Modul ebenfalls noch enthalten. Somit gibt unter dieser Software keine Möglichkeit die DS-Features, wie z.B. den Touchscreen, zu benutzen. Daher bin ich mir jetzt nicht ganz sicher, ob man dieses Modul tatsächlich auch so verwenden kann, wie ich es gerne würde. Würde mich aber freuen, wenn mir jemand schreiben würde, ob es geht. Denn dann brauche ich das nicht zu Versuchszwecken kaufen. Umtauschen ist ja bei Software bei geöffneter Verpackung üblicherweise (und verständlicherweise) nicht möglich.

Wie man Microsofts BitLocker einrichtet

nospam@example.com (Alex) — Mon, 12 Jun 2006 12:33:00 +0200

Wenn man die Verschlüsselung der gesamten Festplatte auch unter Windows nutzen will, mußte man bisher auf Produkte von Dritthersteller ausweichen. Dort gibt es einige Einschränkungen beim Ruhezustand ("suspend to disk", S4) von Windows und bei der Verwendung eines Bootmanagers. Letzterer wird dann installiert, wenn man über Dual-Boot bspw. ein Linux als OS noch parallel installieren möchte. Die meisten Lösungen unterstützen so nur noch vier Partitionen.

Microsoft bringt nun eine eigene Lösung in Vista mit und hat sie BitLocker getauft. Bis auf eine kleine Boot-Partition (wenige MB groß) ist die Systemplatte (und evtl. noch weitere angelegte Partitionen) verschlüsselt. Also ganz so, wie man es von Linux her kennt, sofern man das komplette System verschlüsseln wollte.

Bei der Installation von Microsofts öffentlicher Beta 2 von Windows Vista (Build 5384) muß man direkt Vorbereitungen für den späteren Einsatz von BitLocker treffen. Und dies momentan noch manuell.

Man beginnt also wie übliche mit der Installation von CD bzw. bei Vista von DVD. Sobald man bei der Aufforderung zur Partitionierung der Festplatte angekommen ist, legt man nun (ausgehend von einer Festplatte ohne jegliche Partitionen) mind. zwei Paritionen an. Wer mehr einrichten möchte, kann dies natürlich tun, aber zwei stellen das Minimum für den Betrieb von BitLocker da.

Die erste Partition, die man anlegt, ist die Partition, worauf später einmal das Windows-Verzeichnis liegt und üblicherweise auch das Verzeichnis "Programme", usw. Mit anderen Worten: dieses Laufwerk ist C:.

Dieses formatiert man dann sogleich. Standard scheint momentan immer nur NTFS zu sein - auch bei Festplattengrößen unter 1 GB. Kleiner 540 MB habe ich nicht ausprobiert. Aber nach der Installation stehen auch FAT und FAT32 wieder wie gewohnt zur Verfügung.

Nun legt man eine zweite Partition an, die wirklich nicht besonders groß sein muß. Ich habe ca. 50 MB dafür reserviert. Wahrscheinlich geht auch noch etwas weniger. Dies müßte aber auch in der Dokumentation zu BitLocker auf den Microsoft Webseiten genauer stehen. Diese Partition formatiert man dann im Partitionsmenü ebenfalls.

Jetzt drückt man die Tastenkombination [Shift] + [F10] und gelangt so in eine Eingabeaufforderung. Das steht zwar nirgends auf dem Installationbildschirm bislang beschrieben, aber es funktioniert. (Zumindest bei der Beta 2 Build 5834 - bei anderen Builds ändert sich u.U. die Tastenkombination und evtl. auch die bisherigen und weiteren Verhaltensweisen.)

Dort ruft man nun das Partitionierungsprogramm auf. Wer denkt, dass dies nun fdisk sei, liegt falsch. diskpart heißt es. Dort kann man sich mit "help" die verfügbaren Befehle aufzeigen lassen. Bei nur einer Festplatte im System und nur zwei Partitionen ist folgende Eingabe nötig:

select disk 0

select partition 2

active

exit

Dies bewirkt, dass die zweite, kleine Partition als aktiv gesetzt wird - die Boot-Partition eben, die auch nicht von BitLocker verschlüsselt werden kann. Wer noch den beiden Partitionen Namen vergeben mag, so wie ich, kann dies mit diskpart noch tun. Wenn man die Eingabeaufforderung geschlossen hat, aktualisiert man die Liste der Partitionen mit dem entsprechenden Button. Man wird nur eine Veränderung sehen, wenn man den Partitionen Namen vergeben hat. Jetzt wählt man die erste Partition aus, die man erstellt hat, um darauf Windows zu installieren. Nach Beendigung der Installation startet man mit Admin-Rechten die BitLocker-Verschlüsselung in der Systemsteuerung.

Update: Diese funktioniert entweder per Key im TPM-Modul oder per Key auf einem USB-Stick. Wenn man über ein TPM-Modul verfügt, bieten sich nun allerdings zwei Möglichkeiten: Start-Up Key oder TPM-only. TPM-Only ist komplett transparent für den Benutzer und erfordert keine Interaktion mit dem Benutzer bzw. keinen Key auf einem weiteren Speichermedium.

Start-Up Key ähnelt der reinen Lösung ohne TPM-Modul. Entweder speichert man den Key nun wieder auf einem USB-Stick oder man gibt eine Benutzer-PIN ein, die man sich selbst aussuchen kann.

Nun wird noch ein Recovery-Key erstellt, der dann nötig ist, wenn Windows beim Start Probleme mit der Festplatte oder dem Key aus verschiedenen Gründen bekommt (z.B. USB-Stick nicht eingesteckt). Dann muss man diesen rein numerischen Key eingeben. Momentan heißt es, dass man für die Eingabe der Zahlen die Funktionstasten F1-F10 für Eins (F1) bis Null (F10) benutzen soll. Jedoch gehen auch die normalen Ziffern-Tasten dafür.

Der Key ist 8 Blöcke zu je 5 Zahlen groß, wobei die letzte Ziffer wohl eine Prüfsumme ist. Danach bootet Windows Vista wieder von der verschlüsselten Festplatte, sofern der Recovery Key richtig war. Somit hängt dieser Key also irgendwie mit dem ursprünglichen Key (.bek Datei im binären Format bzw. im TPM-Modul) zusammen. Es gibt desweiteren noch eine Key-ID, die man aber hier nicht braucht.

Zu sagen wäre aber noch, dass das Diskettenlaufwerk beim Start von BitLocker gecheckt wird. Eine Diskette hatte ich zur dieser Zeit nicht eingelegt. Laut Dokumentation soll auch keine Speicherung des Keys direkt auf Diskette möglich sein.

Zur Verfügung steht auf meiner TPM-losen Maschine so nur die Möglichkeit auf einen USB-Stick (sprich: "USB flash disk") zu speichern, welchen ich auch schon eingesteckt hatte vor dem Start von BitLocker. Dummerweise wird der USB-Stick während des Bootvorgangs nicht erkannt. Das BIOS kann bislang nur von USB-HDD, USB-CDROM, etc. booten. Jedoch greift der Bootloader auch auf das Diskettenlaufwerk zu, was mich dann dazu veranlaßt hat, den Key vom USB-Stick auf eine Diskette zu kopieren. So klappt der Bootvorgang auch wieder. Angemerkt sei vielleicht noch, dass der (deutsche) Bootscreen mit Rechtschreibfehlern versehen ist.

Wer sich die Startdateien und die Logfiles mit einem Hexeditor unter z.B. Linux anschaut, da man unter Vista nicht auf jede Datei zugreifen kann, dann kann man einige Pfade erkennen, die mit EFI anfangen bzw. darauf enden. EFI-Support sollte aber eigentlich noch nicht in Windows Vista vorhanden sein ...

Was für eine Verschlüsselung Microsoft hier einsetzt, ist mir bislang zwar noch nicht bekannt, aber nun kann die generelle Arbeit an diesem System beginnen.

Steganos Freecrypt

nospam@example.com (Alex) — Wed, 31 May 2006 20:48:35 +0200

Die Fachzeitschrift PC-Welt hat als neuste News eine Nachricht über Steganos Freecrypt online.

Auf der dort angegebenen Webseite kann man eine AES-Verschlüsselung (256 Bit) in beide Richtungen benutzen. Jedoch ist davon gleich dreimal abzuraten:

Der angegebene Link verweist auf eine unverschlüsselte Webseite, obwohl ein SSL-Zertifikat für diese Domain vorliegt auch wenn es zu einer anderen TLD gehört.
Man Steganos Freecrypt vielleicht als closed-source Programm nicht vertrauen kann bzw. sollte.
Der Userinput landet auf dem Webserver. Das kann eine Klartext-Speicherung, etc. nach sich ziehen.