Seraphyn Blog

Art of Information Security - Random Insights on Protecting Data, Privacy, and Digital Infrastructure
Kevin Flanagan and I delivered a presentation on Cryptography at this year’s RSA 2010. Now, doing a cryptography presentation at RSA is a bit like putting a target on yourself that says “please shoot me down!”. Well, the presentation was very well received, and the RSA conference folks have asked Kevin and I to do a encore presentation via Webcast. A few quick facts:

This is not your math teacher’s Cryptography presentation !
The core of this presentation is about discussing the various points in an application where a cryptographic control, primarily encryption, can be applied. Kevin and I walk through an expanded version of the 3-tier application architecture. We go beyond discussing the encryption controls available to the web server, application server, and database backends, to expand our scope to include the PC, storage, backup, and file systems. At each point we will discuss the kinds of controls that can be applied, the risks that those controls help manage, and risks which are ofttimes overlooked and remain.

This presentation is more focused than the RSA Version from March.
In our presentation in March we tried to also include an introduction to Key Management. This proved to be too much to bite off, so we have pruned that material from the presentation that is planned for the Webcast. Kevin and I may be submitting a presentation proposal for RSA 2011, 100% dedicated to Key Management. (Feedback on that idea would be of great value… Feel free to comment below.)

In fact, I am always interested in feedback from readers of AoIS. So, if you tune in the the WebCase, please drop me a note. I personally find web and teleconference presentations much more difficult than in the in-person kind…

When and Where ?
The Webcast in this Wed (June 23, 2010) at 1:00 PM EST, 10:00 AM PST, 5:00 PM GMT.
Here is a link to the registration: Webcast: Cryptography: Issues and Insight from Practical Implementations
Cheers, Erik

In die Datei ~/.Xdefaults:

Danach ein xrdb ~/.Xdefaults > Opera neu starten > Fonts wieder 1 A

Ein Must have für jeden Massiv Attack-Fan.
Tracklist:
0:00:00 | Danny the Dog // Danny the Dog OST – {2004}
0:08:02 | Dissolved Girl // Mezzanine – {1998}
0:13:23 | Man Next Door // Mezzanine – {1998}
0:18:23 | You’ve Never Had a Dream / Danny the Dog OST – {2004}
0:19:48 | One Love // Blue Lines – {1991}
0:23:57 | Bumper Ball Dub (Karmacoma) [vs. The Mad Professor] // No Protection – {1994}
0:29:38 | Karmacoma // Single – {1995}
0:34:19 | Special Cases // 100th Window – {2003}
0:38:51 | False Flags // Single – {2006}
0:44:13 | Live With Me // Single – {2006}
0:48:25 | Backward Sucking (Heat Miser) [vs. The Mad Professor] // No Protection – {1994}
0:54:23 | What Your Soul Sings // 100th Window – {2003}
1:00:44 | Heat Miser // Protection – {1994}
1:04:09 | Teardrop // Mazzanine
1:08:43 | Everywhen // 100th Window – {2003}
1:15:28 | Montage // Danny the Dog OST – {2004}
1:17:06 | Incantations // Collected – {2006}
1:20:09 | Sweet is Good // Danny the Dog OST – {2004}
1:21:19 | Eurochild // Protection – {1994}
1:25:55 | A Prayer for England // 100th Window – {2003}
1:31:15 | Risingson // Mezzanine – {1998}
1:35:49 | Safe from Harm / Blue Lines – {1991}
1:40:29 | Red Light Means Go // Danny the Dog OST – {2004}
1:42:13 | Five Man Army // Blue Lines – {1991}
1:47:53 | Weather Storm [with Portishead & Tricky] // Straight Outta Bristol – {1995}
1:50:42 | Silent Spring // Collected – {2006}
1:53:37 | Cool Monsoon (Weather Storm) [vs. The Mad Professor] // No Protection – {1994}
2:00:11 | One Thought at a Time // Danny the Dog OST – {2004}
2:04:17 | Weather Storm // Protection – {1994}
2:08:27 | Inertia Creeps // Mezzanine – {1998}
2:13:30 | Moving Dub (Better Things) [vs. The Mad Professor] // No Protection – {1994}
2:18:50 | Radiation Ruling the Nation (Protection) [vs. The Mad Professor] // No Protection – {1994}
2:26:50 | Protection // Protection – {1994}
2:34:09 | Better Things // Protection – {1994}
2:37:29 | Black Milk // Mezzanine – {1998}
2:43:11 | I am Home // Danny the Dog OST – {2004}
2:46:33 | Future Proof // 100th Window – {2003}
2:51:08 | Lately // Blue Lines – {1991}
2:54:49 | Collar Stays on // Danny the Dog OST – {2004}
2:55:54 | Face a la Mer [with Portishead & Tricky] // Straight Outta Bristol – {1995}
3:00:54 | Eternal Feedback (Sly) [vs. The Mad Professor] // No Protection – {1994}
3:06:39 | Sly // Protection – {1994}
3:11:35 | Everything About you is New // Danny the Dog OST – {2004}
3:13:12 | Be Thankful for what you’ve Got // Blue Lines – {1991}
3:17:14 | Group Four // Mezzanine – {1998}
3:24:44 | Milk (Garbage) [with Portishead & Tricky] // Straight Outta Bristol – {1995}
3:29:07 | Blue Lines – {1991} // Blue Lines – {1991}
3:33:04 | Hymn of the Big Wheel // Blue Lines – {1991}
3:38:47 | Confused Images // Danny the Dog OST – {2004}
3:40:07 | Everybody’s Got a Family // Danny the Dog OST – {2004}
3:41:07 | Two Rocks and a Cup of Water // Danny the Dog OST – {2004}
3:43:00 | Mezzanine – {1998} // Mezzanine – {1998}
3:48:19 | Daydreaming // Blue Lines – {1991}
3:52:08 | I Spy (Spying Glass) [vs. The Mad Professor] // No Protection – {1994}
3:56:18 | Spying Glass // Protection – {1994}
4:01:05 | Right way to hold a Spoon // Danny the Dog OST – {2004}
4:03:49 | The Dog Obeys // Danny the Dog OST – {2004}
4:05:34 | Butterfly Caught // 100th Window – {2003}
4:11:36 | Angel // Mezzanine – {1998}
4:17:02 | Trinity Dub (Three) [vs The Mad Professor] // No Protection – {1994}
4:20:52 | Three // Protection – {1994}
4:24:05 | P is for Piano // Danny the Dog OST – {2004}
4:25:33 | Sam // Danny the Dog OST – {2004}
4:28:08 | Unfinished Symphony // Single – {1991}
4:32:37 | Atta’ Boy // Danny the Dog OST – {2004}
4:33:41 | nnnn [with Portishead & Tricky] // Straight Outta Bristol – {1995}
4:42:00 | Simple Rules // Danny the Dog OST – {2004}

Download
Online hören

seraphyn@sayuri:~$ opera --version
Opera 10.53 Internal. Build 6330 for Linux.

Sollte man sich wirklich mal anschauen, denn hier zeigt einem der Bartel wo der Most geholt wird.
Leider bin ich mit dem Vimperator-Script für Opera überhaupt nicht zufrieden. Auch kann ich meinen vi nicht starten um diesen Text in die Textarea zu schreiben. Aber, ich nutze ab jetzt nur noch die Bloatware Firefox nebenbei, wenn ich Lust auf Vimperator habe, denn bei m surfen zeigt Opera wer Schmackes hat und er geht auch nicht wie eine Rampensau mit meiner CPU und dem RAM um.
Ich werde nicht ausholen bei welchen Dingen er viel besser ist, nur wenn mich eine Preview überzeugt, dann schaut Euch bitte Opera mal an, denn es lohnt sich diesmal sehr. Ja und ich habe nun ein Tainted System ...
Das muss in die /etc/apt/sources.list

Und:
- Es ist eine Vorschau auf die kommende Version, ergo können kleine Fehler im Browser sein
- Adblock brauche ich nicht, weil ich weiss, wie man einen squid inkl Shalla-List konfiguriert und Port 80 per iptables in Richtung 3128 schiebt
- Ich weiss, wie man Mail, IRC und weiteres in Opera abschaltet, sprich starten, ohne diese Funktionen;)
( Dies nur um manche Diskussionen im Vornerein zu unterbinden, welche ich nicht meinen Lesern unterstelle, aber manch anderen;) )

Nicht immer muss man eine Kette an Programmen und Abhängigkeiten installieren um Jemanden kurz einen Zugriff auf Dateien zu gewähren.
Einfach in das zu teilende Verzeichnis gehen und : Die Dateien sind nun unter der $IP auf Port 8000 erreichbar.

Irgendwie ist jedem der Moment bekannt, es möchte ein Gast einmal schnell surfen und man möchte jenen nicht Partout an sein System lassen.
Für diesen Fall habe ich ein ISO-File von Ubuntu Netbook Remix auf meiner HD liege und boote Fix mit jener.
Die Gründe sind für mich:

• Ich muss für Niemanden Vimperator ausschalten
• Ich muss Niemanden ion3 erklären
• Ich habe meine Ruhe
• Die Session ist nur temporär

Es wird ein Verzeichniss auf der HD erstellt in welches man die ISO kopiert.
In die Datei /etc/grub.d/40_custom wird folgender Inhalt ( Für meinen Fall ubuntu-10.04-netbook-i386.iso) eingetragen:

Danach wird ein update-grub aufgerufen und dies war es auch schon.
Somit sind die Mausschubser begeistert und der Seraphyn kann sich beruhigt zurücklehnen.

Ist das nicht schön?

Fefe:
Sehr gute Nachrichten: Google opensourced VP8, um einen freien Web-Video-Codec zu schaffen. Damit hatten ja schon alle gerechnet, als Google On2 gekauft hat, den Hersteller von VP8. VP8 ist meiner Einschätzung nach im Moment noch nicht wirklich konkurrenzfähig, weil die H.264-Infrastruktur inzwischen sehr weit ist bei Open Source, dank ffmpeg und x264. Ich hoffe, dass die x264-Leute sich des Codecs annehmen und daraus einen genau so fetten Codec machen, wie sie aus H.264 gemacht haben (wo x264 alle kommerziellen Encoder derartig deutlich plattmacht, dass es eine Freude ist). H.264 wäre nicht so auf der Landkarte, wie es es heute ist, wenn es nicht so einen hervorragenden Encoder kostenlos gegeben hätte.

Es ist gar nicht überzubewerten, was das für ein wichtiger Schritt für uns alle ist. Google als Betreiber von Youtube weiß ja auch, dass bis 2012 eine Übergangsfrist läuft, in der sie auf Lizenznerv verzichten können. Und bis dahin muß mal eine Alternative her. Und Google sitzt nicht nur wegen Chrome, sondern auch wegen Youtube am fettesten Hebel im Internet. Wenn die umstellen, dann werden die Browser-Hersteller alle folgen. Und tatsächlich haben sie zum Launch schon Firefox und Opera als Partner gewonnen. IE kann man mit Chrome Frame abbügeln. Bleibt nur Safari, und die paar Apple-Spacken fallen in der Statistik ja eh nicht weiter auf, wenn die keine Videos mehr kriegen. Merken die eh nicht, die haben ja auch nicht gemerkt, wie scheiße der Quicktime-H264-Encoder ist.

Rein technisch gesehen ist natürlich nicht alles Gold, was glänzt. Aber ich hoffe trotzdem, dass die x264-Leute das übernehmen und daraus einen Goldesel für uns alle bauen. Vor allem haben die auch das Knowhow, um die Spec so zu ändern, dass sie Patente vermeidet.

Was können wir nun damit machen?
Wir können uns Nightly Builds herunterladen und das ganze testen. Diese gibt es für den Firefox und für Opera.Ich habe mir für die Version von Opera entschieden. Opera kann mit dieser URL http://snapshot.opera.com/webm/opera-10.54-21867-webm.i386.linux.tar.bz2 heruntergeladen werden.

Nach dem öffnen geht man auf die URL http://youtube.com/html5 und aktivieren die HTML5-Beta.
Nun kommt noch ein leckeres Problem:

Zusätzliche Beschränkungen (wir arbeiten daran!)

- Videos mit Anzeigen werden nicht unterstützt (sie werden im Flash Player abgespielt).
- On Firefox and Opera, only videos with WebM transcodes will play in HTML5
- Der Vollbildmodus wird nicht unterstützt.
- Falls du an anderen TestTube-Experimenten teilnimmst, ist es möglich, dass du den HTML5-Player nicht testen kannst (Feather wird allerdings unterstützt).

Ich habe kein einziges Video ohne Werbung, bzw ohne Flash gefunden :)
Wer also eine URL zur Verfügung hat, bei welcher es funktioniert, your're welcome

Wer kennt es nicht, man macht ein Update auf seiner Maschine, alles stimmt und rkhunter ist nach dem Update der Meinung, dass ist doch alles Falsch nun.
In diesem Moment sollte man am besten vor dem Update einen Systemcheck durführen ( Händisch, da rkhunter hdparm, /dev/.udev, /dev/.initramfs, /dev/.mdadm.map und portsentry moniert und aptitude nicht weiterläuft, als Bsp. rkhunter -c --cs2 --rwo --sk -X ) und nach dem Update. Schaut nach einer ganz schönen Arbeit aus, nur um seine Maschine einem Update zu unterziehen.
Da springt natürlich für uns eine Funktion ein, welche bei Debian scheinbar nicht vielen bekannt ist und einen mächtigen Syntax besitzt.
Aptitudes und das darunterliegende apt könne konfiguriert werden und zwar über die Datei: /etc/apt/apt.conf.d/70debconf
Wenn man sich die Datei einmal anschaut:
ist in dem Moment noch nicht viel vorhanden, aber das möchten wir ändern.
Ich setze ein Befehl ein, welcher vor dem Update ausgeführt werden und danach.

Macht ein Update der neu installierten Files, bzw der kompletten Datenbank von rkhunter um die False/Positives auszumerzen, sonst bekommt man bei dem nächsten Cronjob sehr viele Fehlermeldungen um die Ohren gehauen. Lustig wird dies vor allem, wenn die coreutils einem Update unterzogen werden ( Einmal ein dpkg -L coreutils und man weiss was ich meine).
Wenn nun ein aptitude update angeschlagen wird, passiert noch nichts.
Nach dem Installieren der Dateien (aptitude safe-upgrade) wird die Datenbank von rkhunter einem Update unterzogen und alle sind Glücklich.
Dieser Tipp dient nicht dem absolutem Schutz vor einem Rootkit und es sollte nicht nur rkhunter lokal ausgeührt werden, sondern auch mal mit einer LiveCD. Wer rkhunter nutzt, sollte sich wirklich mit dem Programm auseinandersetzen und sich im Klaren darüber sein, dass Sicherheit ein laufender Prozess ist und vereinzelte Programme nicht den Menschen ersetzen.
Denn der Computer rechnet vor allem damit, dass der Mensch denkt

Ich bin ein BackUp-Fan, sprich wenn ich mit meiner Digitalkamera fotografieren werden die Bilder noch am gleichen Tag eingepflegt und dann per rsync auf den Server kopiert. Sprich ich traue den SD-Karten nicht wirklich, warum auch immer und Momente, welche mir wichtig sind, sollen doch bitte erhalten bleiben. Ich meine damit in Fotoform im Herzen wird nichts gelöscht;)
Nun wollte ich mich schon hinsetzen und ein nettes feines Script schreiben, welches die EXIF-Daten ausliest und die JPGs doch bitte in der Form Datum_Zeit.JPG umbenennt. Als Werkzeug braucht man dafür das nette Programm exiv2. Unter FreeBSD befindet es sich im Portszweig (cd /usr/ports/graphics/exiv2/ && make install clean oder pkg_add -r exiv2) und bei Debian liegt es im Repository ( aptitude install exiv2).
Welchen nutzen hat das Ganze?
Beschreibung: Werkzeug zur Bearbeitung von EXIF-/IPTC-Metadaten
Exiv2 kann:

Die Exif-Metadaten diverser Formate wie JPEG, TIFF und mehrerer RAW-Dateiformate als Zusammenfassung, interpretierte Werte oder die Rohdaten für jedes Tag anzeigen.
Die IPTC-Metadaten von JPEG-Bildern ausgeben.
Die JPEG-Kommentare von JPEG-Bildern anzeigen, setzen und löschen.
Die Exif-/IPTC-Metadaten von JPEG-Bildern erzeugen, setzen und löschen.
Die Exif-Zeitmarke anpassen (Damit begann alles ...).
Exif-Bilddateien anhand des Exif-Zeitstempels umbenennen.
Exif-Metadaten, IPTC-Metadaten und JPEG-Kommentare entnehmen, einfügen und löschen.
Die in die Exif-Metadaten eingebetteten Vorschaubilder entnehmen, einfügen und löschen.
Die Exif-ISO-Einstellungen von Bildern von Nikon-Kameras korrigieren.
Homepage: http://www.exiv2.org

Ein Beispiel:
Vorher: DSCI0010.JPG  DSCI0011.JPG  DSCI0012.JPG
Rename: seraphyn@sayuri:~/Bilder/Rollei/April/$ exiv2 mv "%Y-%m-%d_%H-%M-%S" $STERN
Nachher: 20090424_181126.JPG  20090424_181137.JPG  20090424_184538.JPG

Das ganze geht auch recursiv: seraphyn@sayuri:~/Bilder/Rollei/April/$ exiv2 mv -r "%Y-%m-%d_%H-%M-%S" $STERN
und man kann noch selbst etwas hinzufügen: seraphyn@sayuri:~/Bilder/Rollei/April/$ exiv2 mv -r "%Y-%m-%d_%H-%M-%S_SupercomputerCray" $STERN
Achtung $STERN ist das nette Zeichen über den plus und der Tilde, welches erreichbar ist mit_Shift_. Mein Blog interpretiert es leider als nettes BOLD:(

Es gibt Momente in welchem man nicht in seinem Serverraum sitzen möchte, ich meine jeder kennt diese Momente, zu kalt, zu laut, zu schlechte Boxen, zu... irgendwann ist man aus dem Alter raus.
Nun muss ich meinen Server mal auf Squeeze bringen und dachte mir, dass ich doch gleich mal das ganze System neu aufspielen kann. Ich brauche die Maschine als TerminalServer, Fileserver, Druckserver, als Kompilierhilfe für FreeBSD und und und. Genug Power hat er mir seinen 4 Xeons und seine SCSI-Laufwerke sind schnell genug. Somit Habe ich mir die DVD Nummer 1 von Debian Squeeze heruntergeladen, sie gebrannt und in den Server eingelegt und gebootet.

Anfang Anleitung
Nach dem booten wählt man die Option > Advance Options > Expert Install
Maschine bootet und es gibt ein nettes neues Menü > Choose Language > DE_de UTF + en_US-UTF8
Keyboard DE
CD-ROM erkennen einbinden , es wird der Pool durchsucht
Installer-Komponenten von CD laden > Network-Console: Continue install. remotly using SSH
Netzwerk-Hardware erkennen
Netzwerk einrichten
Installation über Fernzugriff (SSH) fortsetzen > Passwort eingeben und ab nun kann man sich per SSH als installer@$VERGEBENEIP anmelden
Nach dem Anmelden hat man einen wunderschönen Screen

und kann gemütlich so fortfahren wie man es kennt.
Happy Remotehacking

Wenn bei einer Java-Anwendung unter Debian squezze keine Netzwerkverbindung zustande kommt liegt dies an der IPv6-Funktion in Java.
Abhilfe kann damit geschafft werden, dass man die Virtuellen Maschinen-Argumente so übergibt, das IPv4 erzwungen wird.
Als Beispiel eclipse: Dies funktioniert bei jeder Java-Anwendung.
Die dazugehörige Fehlermeldung lautet: "java.net.SocketException: Network is unreachable".

mount.nfs operation not permitted in dem ersten Moment daacxhte ich mir, wie kann das gehen?!?!?
Überprüfen /etc/exports beim Server Kein Fehler
Überprüfen /etc/fstab beim Client Kein Fehler
Es liegt einfach daran, dass Squeeze versucht per NFSv4 auf den Server zuzugreifen.
Somit ein user,rw,noauto,nfsvers=3,wsize=32768,rsize=32768 in die Datei /etc/fstab und Server, Host, vor allem der User freuen sich.

Es bleibt die nächsten Tage bei solchen Shorties, da meine Hand immer noch gestaucht ist und furchtbar schmerzhaftes Tippen bereitet.
Entschuldigung....

Da der neue Firefox nicht mehr von dem TinyTiny-RSS-Notifier unterstütz wird, ich es auch Leid bin immer wieder Sourcen umschreiben zu müssen, habe ich mir etwas anderes überlegt.
Wie das ganze Internet sich vielleicht bewusst ist, ich posaune es auch bei jeder Gelegenheit raus;), nutze ich ion3 und passe das ganze System meinem Gusto an. Ich meine, Mensch, warum nutze ich sonst Unix und Linux, wenn ich mich mit dem vorgesetzten befriedigen muss, anstelle mein eigenes System zu schaffen?
Nachdem ich nun mir meine Anzahl neuer Mails durch ein nettes Perlscript anzeigen lasse (Net::IMAP::Simple::SSL sei Dank), kann ich auch das ganze für TinyTiny-RSS machen.
Somit begab ich mich auf der Suche nach der API und war schon daran ein PM in Perl dafür zu nutzen, bis ich auf die Idee kam mir das XPI der Notifiers genau anzusehen. Was sahen meine tauben Augen mitten im Code, der gute Mann, welcher das gecodet hat, geht über die backend.php und das ganze funktioniert auch noch ohne Login.
Mein erster Test auf der Konsole mit curl bestätigte mir das ganze, ich brauche kein -u$USERNAME:$LOGIN mit anzugeben. TinyTiny-RSS schmiss mir auch so die gewünschte Antwort heraus.
Kurz und Gut, ich habe den ganzen Aufruf in eine ausführbare Datei in ~/bin geschmissen, ausführbar gemacht und nochmals überprüft. Geht.

Da ich in ion3 in der Datei $HOME/.ion3/cfg_statusbar.lua eigene ausführbare Dateien eingliedern kann, habe ich dies auch gleich gemacht:
Wie man oben sehen kann, befinden sich auch die beiden Perlscripte für meine IMAP-Accounts (Dokumente ist ein verschlüsseltes Laufwerk und somit können dort die Passwörter im Klartext in dem Script stehen, $PATH ist natürlich in der .bashrc vorhanden) und das ttrss-Script.
Dies wird dann mit einem ttrss: %exec_ttrss in die Zeile template= eingefügt.
Simple, aber Ressourcenschonend.
Hier mal ein Bild meiner kompletten Statusbar:

1. Uhrzeit
2. Systemlast
3. Ethernet und Wlan
4. Akku ( im Moment keiner im Thinkpad) und die Temperatur des Systems
5. Die einzelnen virtuellen Desktops, erweitert sich je nach der Anzahl n
6. Das Wetter
7. Mailaccount 2x und TinyTinyRSS
Natürlich kann man das ganze auch in DWM/WMii/Awesome/*box einbauen. Ist ja kein Ding von Welt;)

Einfach der Datei $HOME/.vimrc folgendes hinzufügen:Kann ich nur empfehlen ist ein sehr guter Zeichensatz zum coden.

Btw. natürlich kann man auch hier zenburn verwenden, welches ich jedem anrate;)
Nun auch in der Datei $HOME/.vimrc folgendes hinzufügen:

Ich musste aus Programmiergründen ein Update von Debian Lenny (Stable) auf Debian Squeeze (Testing) machen.
Im Grunde ging Alles gut und ich bin Froh, dass ich mich mit Linux an manchen Stellen auskenne. Es ist nicht so, dass dies ein Ottnormalbenutzer machen sollte, denn es gab ein paar Klippen zu umschiffen, welche nicht wirklich leicht für einen Beginner sind. Sprich neuer Kernel und udev ( Hint: touch /etc/udev/kernel-upgrade) und ein paar andere "Überredungen".
Ein heftiges Ärgerniss, welches so in FreeBSD in so kranker Form nicht auftritt, ist der neue X-Server.
Natürlich funktioniert die alte /etc/X11/xorg.conf nicht.
Warum auch?
Um den TrackPoint zum scrollen zu bekommen, sprich den TrackPoint normal benutzen zu können:
/etc/udev/rules.d/99_trackpoint.rules:
/etc/hal/fdi/policy/mouse-wheel.fdi :Ein reboot danach tut Gut.

Für die Specialkeys des A31 gelten die folgenden Keycodes:
Jene können dann auch wieder mit xmodmap $HOME/.Xmodmap eingebunden werden.
Ich schaue mal weiter welche Bugs sich da so finden. Nicht nur nutzen, auch einen Report abgeben.