Skip to content

Weil verschlüsselte E-Mail Anbieter gerade gefragt sind, hier eine unfertige Liste

E-Mail Anbieter, die Wert auf Datenschutz und Verschlüsslung legen sind gerade gefragt. Das freut mich. Aus diesem Grund "my two cents" und eine unfertige Liste an Anbieter.

Translate to de es fr it pt ja

New Debian Project Wants To Hardened Debian For Desktop Users

The aim is to have an encrypted root file system and using virtualization technology to put each program in a sandbox.

Furthermore, they want to educate the user by giving warnings or guides how to securely life in the digital world.

mempo site.
An easier approach is doing the gentoo community by offering the hardened gentoo project.

An other but "looking like it is working" project is the qubes os. Basically, they are putting everything in a virtual application on top of a xen hypervisor. With some nice ideas, they are dealing with the speed als well as the consumed space of each "app". Qubes os is based on fedora.

Translate to de es fr it pt ja

Gedanken bezüglich der massiven Anzahl an "die NSA kann alles knacken"-Nachrichten

In den letzten Tagen wird eine immer größer werdende Anzahl an Nachrichten durch die digitalen (und wohl auch analogen) Kanäle geprügelt, die alle den gleichen O-Ton tragen. "Die NSA kann alles knacken und hat überall Backdoors eingebaut". Ich habe das Gefühl, dass man hier vor allem Resignation erzeugen möchte. Betrachtet man die Kommentare auf einigen Seiten, trifft man häufig Sätze wie "es bringt alles nichts" an. Mich deucht, dass dies der eigentliche Grund hinter dieser Torpedierung an Meldungen steckt.

Was einem klar sein sollte ist, dass die NSA und andere Schattenregierungen oder "Vereine", viel Macht in der Wirtschaft besitzen, sei es durch Firmenmitarbeiter die ein zweites Gehalt beziehen und die Forschung und Entwicklung in "die richtigen Bahnen" lenken, oder durch Gesetze und Geheimverträge über die niemand sprechen darf.

Aber wo Schatten ist, ist auch immer Licht. Freie Software kann euch schützen. Natürlich ist alles knackbar, aber auch eine NSA mit ihren Supercomputern braucht im Moment noch etwas Zeit um alles zu knacken. Da stellt sich dann immer die Frage wie wichtig eure Daten sind. Sobald die Quantencomputer von den Geheimdiensten und "little NSA aka elgoog" laufen, kann sich all dies relativieren, aber bis dahin ist noch etwas Zeit.

Was könnt ihr tun?

  • Haltet das Betriebssystem aktuell
  • Nutzte freie Betriebssysteme
  • Nutzt freie Verschlüsslungssoftware
  • Haltet wichtige Daten lokal, ihr braucht nicht alles auf einem Webserver oder in der Cloud
  • Nutzte eigene Zertifikate (solange man das Root Zertifikat hat, kann man alle weiteren Entschüsseln)
  • Speichert wichtige Passwörter nicht im Klartext auf dem PC (dann doch lieber der gute alte Zettel)
  • Verschlüsselt E-Mails, GnuPGP ist erlernbar
  • Nutzte Passwörter mit statischen und dynamischen Anteilen
  • Gebt keine wichtigen Informationen auf Internetseiten (und wenn, dann doch lieber nur wenn ein https davor steht)
  • Wählt die richtigen Parteien
  • Lasst euch nicht einschüchtern
Translate to de es fr it pt ja

meetup - attraktor - selinux

Just arrived at home from back to hack selinux. I tried my best to keep up the speed of slides. Nevertheless, there are some gaps in between.

Big thanks to the presenter. I turned my fear into anticipation for using it!

History

  • 1976 LaPadula paper released
  • DTMach as construction idea released
  • Based on FLASK, first patches to linux kernel
  • 2002 implemented as linux security module (LSM)
  • Since 2003 part of the mainline kernel
  • Fedora core was first distribution (shipped with policy)
  • Since 2007 shipped with RHEL5 EAL4+

Bell LaPadula

  • MAC
  • TE
  • RBAC
  • No read up, no write down

Features

  • Extends DAC (directory access control)
  • mode at runtime changeable (enforcing vs permissive)
  • flexible policy
  • AVC (access vector cache)
  • root is not god anymore
  • process running in own security domain

Discretionary Access Control

  • classical security concept
  • object based access control
  • unflexible
  • rights per user
  • user can ship rights
  • uid can be changed by using suid

MAC

  • access control by using policy

TE - Type Enforcement

  • all resources have a typ/domain
  • whitelisting ruleset

Security Context

  • securityarea
  • object (user:role:domain:level)
  • subject

Policy

  • heart of selinux
  • common policis are targeted, strict and MLS
  • defines rules for access from subject of object
  • defines domain transition of a subject (when can a subject change its domain)

Policies

Targeted

  • default policy
  • contains a understandable complexity
  • well choosen processes running in own domain
  • you can tweak the policy by using booleans
  • this policy should be enough for daily work
  • if you use the filesystem hirachy standard you are quite save
  • Unknown software is stored in context "unconfined"

Multi Level Security (mls)

  • everything is running under selinux policies
  • tweakable by booleans
  • only for high risk security aspects

Booleans

  • enables tweaking the policy without reload
  • no knowledge about policy needed
  • booleans can set permanent
  • semanage boolean -l lists a lot of informations

Userlandtools

  • -Z is selinux switch (ls -Z, netstat -Z)
  • cp, mkdir and so on are linked against selinux to support setting needed bytes
  • getenforec/setenforce - switching selinux mode
  • restorecon/fixfiles/chcon - changing context of subjects
  • sestatus - status
  • avcstat - status about avc
  • libselinux - the selinux
  • libsepol - all binaries linked against

Policy Management

  • setsebool/getsebool - show and set of selinux booleans
  • semanage - policy management
  • semodule -

Policy Development

  • audit2allow - builds selinux rules based on audit log
  • checkmodule - transforms rulse into binary
  • semodule_package -
  • audit2why - analyse selinux

Linux Audit Framework (LAF)

  • should be used for logging

Backup

  • you are loosing the context if your backup software does
  • tar and rsync supports :-)

Translate to de es fr it pt ja

howto - mount filesystem via ssh using sshfs

First of all, you have to install "sshfs". After that you just have to type.

sshfs $user@$host:/path/to/dir /path/to/mount

If fuse throws an error of permission, you have to add your user to the group fuse by typing:

usermod -a -G fuse $user

After you re-logged-in you can see by typing "groups" in your shell that everything is done fin. Do not want to logoff? Try

su $user
in your shell. This is a new login and so your new group is available now.

Just another hint, if you want to access symbolic links, try:

-o followsymlinks
and/or
-o transformsymlinks

The man page will help you to understand what you are doing.

Now put everything as an alias in your bashrc (or something similar) and you are done :-).

alias mountMyShare="sshfs [email protected]:/path/to/dir /path/to/mount -o follow_symlinks"; alias umountMyShare="fusermount -u /path/to/mount";

Happy mounting and unmounting.

Translate to de es fr it pt ja

Web - Smart Meter verraten Fernsehprogramm

Die sekundengenaue Übermittlung von Daten macht nun eine feinere Analyse möglich. Dies erfordert nach Meinung der Forscher aus Münster schärfere Datenschutzbestimmungen. Abhilfe könnte es derzeit bringen, die Zeitintervalle zu verlängern oder nur eine statistische Zusammenfassung an den Stromerzeuger oder Dienstleister zu übermitteln. Damit würden keine hochaufgelösten Verbrauchsdaten für eine feinere Analyse mehr anfallen. In beiden Fällen ist der Kunde jedoch auf Maßnahmen seines Anbieters angewiesen.
Quelle

Sehr interessant. Trotz der schlechten Abtastrate von einer Sekunde kann man einen gewissen Fingerabdruck für jeden Film erstellen. Bei einem Film von 120 Minuten Länge hat man bereits 7200 Messpunkte (ob zum Zeitpunkt der Messung gerade ein helles oder dunkles Bild angezeit wurde).

Dies ist wieder ein Punkt mehr gegen diesen Wahn der Smart-Meter-Geschichte.

Translate to de es fr it pt ja

Web - BEAST: Surprising crypto attack against HTTPS

Shouldn't be that nice if it is true. Especially "block-wise chosen-plaintext attack" brings my knees to shiver :-O.

We present a new fast block-wise chosen-plaintext attack against SSL/TLS. We also describe one application of the attack that allows an adversary to efficiently decrypt and obtain authentication tokens and cookies from HTTPS requests. Our exploit abuses a vulnerability present in the SSL/TLS implementation of major Web browsers at the time of writing.

source

Translate to de es fr it pt ja

Web - Die holländische Regierung schmeißt Diginotar raus

[...]wenn man jetzt auf Regierungssseiten mit seiner Bürger-ID Dinge zu tun versucht, kriegt man eine fette Warnung, dass die Integrität der Seiten nicht gewährleistet werden kann. Der Hammer an der ganzen Geschichte ist:
Diginotar has been reportedly aware of the problem since 19 June, but did not report it to the authorities. The Dutch authorities were informed by an Iranian source.
DAS ist natürlich der Todesstoß für eine Firma, deren Geschäftsmodell auf Vertrauen fußt. Über Eck erfahre ich gerade von ein paar Holländern, dass deren Zertifikate auch zur Absicherung der "Lawful Interception"-Schnittstellen benutzt wurden, also zum Beschnüffeln der Bürger. Ich denke mal, dass das den Ausschlag gegeben haben wird. Das ist ja seit vielen Jahren eine Warnung aus dem CCC bezüglich Lawful Intercept Schnittstellen, dass man da nicht ausschließen kann, dass sich jemand unbefugtes Zugang verschafft. Jedenfalls ist es beeindruckend, dass die da nicht "too big to fail" gesagt und sich rauszuwieseln versucht haben. Innerhalb von 5 Tagen nach Herauskommen des Problems ist die CA futsch. Keine schlechte Zeit! Da kann sich RSA mal eine Scheibe von Abschneiden.
Quelle

Mal schauen wann unseren Sicherheitsfirmen dahingehend ein Licht aufgehen wird. Immerhin zeigt dieses Ereignis, dass es noch mäglich sein könnte.

Translate to de es fr it pt ja

Sourceforge - projectlist 110823

After browsing trough the sourceforge.net, my tab group with "software" to look at counts 15 tabs. Hopefully i can/will check this software. Otherwise, if you checked it, write a comment.

  • webmail program like roundcube
    IlohaMail is a PHP based lightweight full featured multilingual webmail program with IMAP and POP3 support. IlohaMail also includes a full-featured contacts manager, bookmarks manager, and scheduler.
    Ilohamail
  • web file management
    AjaXplorer is a PHP rich-client browser for managing files on a web server without FTP. Implements usual file actions, online zip browsing, text files edition and images preview. Users management system and multi-languages.
    ajax filemanager
  • web instant messenger
    AJAX Chat is a fully customizable web chat implemented in JavaScript, PHP and MySQL which integrates nicely with common forum systems like phpBB, MyBB, PunBB, SMF and vBulletin. A Flash and Ruby based socket connection can be used to boost performance.
    ajax-chat
  • phpFreeChat is a free, simple to install, fast and customizable chat that uses by default files for message and nickname storage. It uses AJAX to smoothly refresh and display the chat zone and the nickname zone.
    phpfreechat
  • web proxy
    Lightweight, PHP-based Web Proxy that can utilize whatever remote connecting ablities your server has to offer. It should work out of the box. No configuration needed.
    KnProxy
  • web desktop/os
    eyeos is an open source web desktop following the cloud computing concept, written in mainly PHP and XML. It acts as a platform for web applications written using the eyeOS Toolkit. It includes a Desktop environment with 67 applications and sys utils.
    eyeos
  • website heatmap
    ClickHeat is a visual heatmap of clicks on a HTML page, showing hot and cold click zones. Requires Javascript on the client to track clicks, PHP and GD on the server to log clicks and generate the heatmap
    clickheat
  • web human resource management
    OrangeHRM is an Open Source Human Resource Management System that covers Personnel Information Management, Employee Self Service, Leave, Time & Attendance, Benefits, and Recruitment. Tags: HRM, HRMS, HCM, HRIS, EHRMS, Human Capital Management
    orangehrm
  • open source nas system
    Openfiler is a browser-based network storage management utility. Linux-powered, Openfiler delivers file-based Network Attached Storage (NAS) and block-based SAN in a single framework. It supports CIFS, NFS, HTTP/DAV, FTP, and iSCSI.
    openfiler
  • application security
    The Open Web Application Security Project (OWASP) software and documentation repository.
    OWASP
  • running native linux code on windows with andLinux
    andLinux is a complete Ubuntu Linux system running seamlessly in Windows 2000 based systems (2000, XP, 2003, Vista, 7; 32-bit versions only). This project was started for Dynamism for the GP2X community, but its userbase far exceeds its original design. andLinux is free and will remain so, but donations are greatly needed.
    andLinux
Translate to de es fr it pt ja