Archiv

Archiv für die Kategorie ‘Datensch(m)utz’

Whatsapp uebermittelt Kontaktdaten an Facebook

whatsbookEs sollte eigentlich niemanden verwundern, es musste so kommen wie es gekommen ist.
Facebook hat WhatsApp nicht nur zum Spass gekauft, doch was aergerlich ist, ist die Luege von Zuckerberg und Co: Wir werden WA immer als Eigenstaendigen Dienst betrachten (und ers werden keine Daten ausgetauscht)
Das dies nun nicht wahr ist konnte ich soeben feststellen.
Ein Kontakt, John Doe, den ich schon etwas laenger kenne und ich haben gestern Handynummern getauscht, leider kein Threema beim Chatpartner vorhanden, also musste der WhatsApp Messenger als Alternative dienen und heute auf Facebook?

„PEOPLE YOU MAY KNOW“
[٩(̾●̮̮̃̾•̃̾)۶] John Doe
[٩(-̮̮̃-̃)۶] Jenny Elvers
Foobarine is a mutual friend.

Keine Infos dazu, warum mir John nun als Freund vorgeschlagen wird, wie auch, denn wir haben sicherlich keine weiteren sozialen Beruehrungspunkte uńd da ich unter Facebook kaum Angaben zu meinem Privatleben fuehre, auch keine Likes etc verteile, kann hier auch unmoeglich ein zufaelliger Match entstanden sein.

Update 14/05/2016: Sicherlich klingt dieser Artikel recht to­ta­li­ta­ris­tisch, jedoch er spiegelt direkt meine Erfahrungen wieder. Es gab bis auf den Telefonnummerntausch und folgenden WhatsApp Kontakt, keinerlei Beruehungspunkte mit John Doe.
In einem Gespraech mit einem sehr wertgeschaetzten Kollegen kam die Frage auf, ob denn evtl die Apps von Facebook auf einem der Mobiles installiert sein koennte, das ist nicht der Fall.
Auch hat Doe keine weiteren Kontaktdaten bei FB hinterlassen, wie Beispielsweise eine Telefonnummer.

Last one: Neues SSL Cert, die wie sicher ist TOR Frage und der obligatorische Wunsch

30. Dezember 2014 Keine Kommentare

Wo soll ich anfangen, wie man merkt ist dieses Jahr wohl eher nicht mein Jahr gewesen und ich komme kaum zur Ruhe.
Bereits vor einigen Wochen habe ich von meinem werten Kollegen ‚death-row‘ eine Nachricht erhalten: Dein SSL Cert ist abgelaufen, 3 Anlaeufe habe ich nun gebraucht um den Prozess endlich abzuschliessen, das waere ja kein Problem, jedes mal war das Problem auf der Issuer Stelle, jedoch fuer 3 Versuche ca. 3 Wochen zu brauchen ist durchaus ein Problem, aber sei es drum… die Wintersonnwende ist rum, die laengste Nacht des Jahres vorbei und somit hoffe ich einfach auf etwas mehr Ruhe.

Eigentlich waere das folgende sicher einen eigenen Blogpost wert gewesen, aber aufgrund der zeitlichen Verzoegerung eher nicht mehr, daher erwaehne ich es kurz hier: G+: Finger weg von Tor schreibe ich als Headline fuer den folgenden Link: TOR Betreiber verlieren wichtigen Server – Spiegel.de. Mit diesen Worten wollte ich den Blogpost wie gesagt ausfallen lassen und auch gar keine grosse Diskussion starten, wie man aber sehen kann kam es dennoch dazu und daher auch noch einmal kurz hier: Mehr…

Nach Silkroad und Hydra Schliessung: Wie sicher ist TOR?

11. November 2014 Keine Kommentare

torsaEine internationale Operation erschuettert erneut den Anonymitaetsgedanken im Netz, Operation „Onymous“ nennt sich der Schlag gegen den Online Drogenhandel.
Soweit eigentlich ein loebliches Ziel, den Handel mit harten Drogen einzudaemmen, so moechte man meinen (dieser Blog ist uebrigens keine Plattform um ueber die Pros und Kontras von Legalisierung gewisser Substanzen zu philosophieren), doch handelte es sich bei den insgesamt 4 Onlineshops welche offline genommen wurden um sogenannte Hidden Services aus dem Darknet.
Das heisst, dass nun ganz offiziell Hidden Services enttarnt wurden und somit scheint TOR ein massives Problem zu haben mit der eigenen Infrastruktur, die Betreiber von TOR stehen vor einem Raetsel und schreiben auf Ihrem Blog, dass sie nicht wissen wie es dazu kommen konnte.
Es gibt ein paar vage Vermutungen, eine davon spricht von dem Beschlagnahmen einiger Exit Nodes, Sicherheitsluecken in den Shops oder die Tatsache, dass Bitcoins eben nicht so anonym sind, wie es scheint wie Ivan Pustogarov aufgezeigt hat.
Im Grossen und Ganzen kann man nur sagen, dass TOR erneut Schwachstellen zeigte und man sich auf gar keinen Fall alleinig auf diesen Service verlassen darf. Mehr…

CVE-2014-0160 und Debian mit Parallels Plesk Fail! *Update*

11. April 2014 2 Kommentare

heartbleedNach wie vor in aller Munde eine kurze Meldung zum Thema Heartbleed, Debian und Plesk.
Mit dem neuen Debian libssl Paket kommt laut Changelog auch die Nachricht, dass betroffene Dienste neu gestartet werden sollten, so das Changelog von Debian:

* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

So kommt nach der Installation eine schoene Box in der ein paar Dienste aufgelistet werden und ein voreiliger Admin wiegt sich danach in Sicherheit, jedoch vorsicht ist angesagt, denn es werden nicht alle Dienste neu gestartet, Paradebeispiel hierfuer ist Debian mit Plesk und Nginx Combo.
Seit Plesk 11.x kommt Nginx als Caching Proxy fuer statische Inhalte mit auf die Server (zumindest in der Standardconfig). Debian startet aber Nginx nicht neu nach dem Update und von daher bleibt die Luecke bestehen, daher unbedingt nach dem Einspielen des Updates pruefen ob auch wirklich alle Dienste sicher sind, die Windowsmethode neustart ist hier durchaus angebracht.

Wieso ich hier ausdruecklich Plesk schreibe? Weil ich weiss das Plesk sich eigenen Paketen bedient und auch die Verwaltung des Startens von Nginx uebernimmt, ich weiss nicht ob sich der Fehler auf Debian Systemen ohne Plesk ebenfalls reproduzieren laesst.

UPDATE: thekingofroots hat das Szenario ohne Plesk durchgespielt und teilt mit, dass Debian Nginx neu startet nach dem libssl Update, danke dafuer.
Es scheint also der direkte Zusammenhang gegeben zu sein zwischen Plesk installiert Nginx und Debian startet diesen nicht neu nach libssl Updates.

CVE-2014-0160 aka Eure geleakten SSL Private Keys *Update*

8. April 2014 4 Kommentare

heartbleedSie ist in aller Munde, die aktuelle Sicherheitsluecke in SSL via TLS Heartbeat durch welche es moeglich ist an die Private Keys von SSL Zertifikaten zu gelangen und somit komplett das System aushebeln koennen.
(Anmerkung: Neben den Private Keys laesst sich theoretisch der komplette Inhalt des Ramsspeichers auslesen, denn es handelt sich bei dem Problem um einen Memleak oder auch Information Disclosure)

Bei der Luecke handelt es sich um einen Fehler der OpenSSL Implementationen der Versionen:

OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind Verwundbar, dies gilt jedoch nur wenn TLS Heartbeat aktiviert ist, bei Debiansystemen ist dies Beispielsweise Standard, mein Server spricht kein TLS Heartbeat und war zu keiner Zeit gefaehrdet.
OpenSSL 1.0.1g, OpenSSL 1.0.0, OpenSSL 0.9.8 hingegen jedoch nicht, dank Jared Stafford gibt es ein passendes Python Script um eigene Server zu ueberpruefen, ob die Sicherheitsluecke bei der eigenen Maschine greift.
Fuer den Fall das die Maschine verwundbar ist, oder war, ist es nicht ausreichend einfach OpenSSL zu updaten und sich sicher zu fuehlen, es muss davon ausgegangen werden, dass die Keys bereits geleaked sind, die Luecke besteht bereits seit ueber 3 Jahren, daher kann ich an dieser Stelle nur dringend empfehlen die SSL Zertifikate auf den betreffenden Servern zu revoken und neue zu erstellen, inkl NEUEM Private Key! Mehr…

Emergency Selfdestruction von LUKS (unter Gentoo)

8. Januar 2014 Keine Kommentare
cryptsetup

(c) kali.org

Neues Jahr, neuer Blogspot.
Fuer die Paranoiden Verschluessler unter uns haben die Jungs von Kali Linux einen alten Cryptsetup Patch ausgegraben, das Original stammt von Juergen Pabel. Mittels diesem Patch ist es moeglich einen Selbstzerstoerungsmechnismus fuer seine LUKS Devices anzulegen, dieser wird bei der Eingabe des Passworts getriggert. Wird nun statt dem Passwort welches zur Entschluesslung genutzt wird das Notfall Passwort eingegeben, wird nicht entschluesselt sondern alle Keyslots werden geloescht und somit ist eine Entschluesslung der Devices nicht moeglich. Mehr…

Silkroad, TOR, Darknet und die NSA, wie sicher ist TOR?

6. Oktober 2013 Keine Kommentare

torsaVor 4 Tagen wurde einer der groessten Drogenumschlagplaetze des heutigen Internets hochgenommen, Silk Road, ein TOR Hidden Service im „Darknet“ ist nicht mehr erreichbar und es haeufen sich die Unkrufe: Die NSA hat TOR entschluesselt und Silk Road hochgenommen.

Das ist natuerlich voelliger Bloedsinn, denn als erstes sei gesagt, die NSA hat mit diesem Akt nichts zu tun, dies ist Ermittlerarbeit von DEA und FBI gewesen, kein NSA Fund auch wenn dies gerne so propagandiert wird.
Generell war ich nie ein Freund von TOR, viele die mich kennen wissen das, aber das soll nun weniger Bestandteil dieses Posts werden.

Widmen wir uns der ersten Frage, waere es der NSA moeglich TOR User zu deanonymisieren?
Es gibt hier Theorien, die besagen der NSA waere dies moeglich, da sie genug Nodes ins TOR Netzwerk streuen koennte, welche es erlauben mit Trafficanalysen einzelne User ausfindig zu machen und zu deanonymisieren, es wird davon ausgegangen das es sich hierbei um ein monatelanges Verfahren pro Client handeln wuerde. Mehr…

Apple, verschluesselte Devices und die Behoerden

crapple_cryptAktuelle mobile Geraete sind in der Masse eigentlich immer in der Lage von Haus aus verschluesselt zu werden, etwas was vielen Strafverfolgungsbehoerden ein Dorn im Auge sein duerfte, da die Verschluesselung beispielsweise von Google oder Apple gut implementiert werden und fuer die Behoerden kaum eine Moeglichkeit besteht diese zu knacken.
Hierfuer sind diverse Umstaende erforderlich um dies moeglich zu machen, ein Beispiel waeren Cold Boot Attacken, hierfuer muss das Device aber eingeschalten sein und die Behoerden schneller sein als der (ehemalige) Besitzer des Devices und einem moeglichen Remote Wipe.

So laufen die Behoerden nun bei Google und Apple regelmaessig die Tueren ein mit der Bitte die Devices doch bitte zu entschluesseln.
Neben einer eigens eingerichteten Queue fuer derartige Anfragen ist Apple nachweislich in der Lage die eigene Verschluesselung aufzubrechen.
Beweise hierfuer liegen in diversen Faellen vor, ein aktueller Fall waere ein verschluesseltes IPhone was im Besitz eines vermeindlichen Drogendealers war, die ATF (Federal Bureau of Alcohol, Tobacco, Firearms and Explosives) beschlagnahmte dessen Geraet und trat an Apple heran, da das Geraet verschluesselt ist. Mehr…

Komplette Facebook Timeline loeschen

13. März 2013 2 Kommentare

facebookdeleteWie es so oft ist, eigentlich wollte ich ja nicht zu Facebook und ich habe mich lange erfolgreich dagegen gewehrt doch 2009 habe ich mich breit schlagen lassen, als Direktkandidat der Piraten war Facebook einfach mehr oder minder notwendig und schon hatte ich einen Account.
Ueber die Zeit sammelt sich natuerlich hier einiges an und vieles moechte man vielleicht doch gar nicht mehr da sehen, ganz egal wie die Privatsphaeren Einstellungen waren also wollte ich alle Inhalte geloescht haben.
Die Fotoalben sind schnell entfernt, doch was macht man mit den Eintraegen auf der TL?
Diese sind ueber die Jahre doch relativ angewachsen und so begann die Suche, ich will Likes loeschen, ich will Posts loeschen.
Nach etlichen Versuchen bin ich am Ende mit 2 Tools an mein Ziel gekommen, einen grossteil der Likes konnte ich mit einem Greasemonkey Script fuer Firefox loswerden, manuell musste ich jedoch trotzdem nachhelfen. Mehr…

Facebook, Design Fehler in den Privatsphaeren Einstellungen

8. Februar 2013 Keine Kommentare

facebookVor einigen Tagen erreichte mich ein befreundeter Forensiker, Marko Rogge von Omega Defense mit einer Frage zu Android, wie sagte er?: „Du kennst Dich doch mit Android besser aus als der Standard User?“, Marko ist im Zuge einer forensischen Auswertung aufgefallen das die Android Facebook App recht viele Daten auf das Mobile schaufelt ohne das hier eine Erlaubnis fuer den Sync gegeben wurde, ein reines installieren und einmaliges Anmelden in dieser war ausreichend um neben allen Profilbildern und Kontakten, alle Privatnachrichten und auch Kontaktadressen auf das Geraet zu schaufeln.
Interessant war vor allem die Tatsache, dass scheinbar versteckte Mailadressen auch auf dem Geraet landen, aber wie wir feststellen konnten nicht alle und so begann die Suche was denn hier passiert ist, am Ende stellte sich heraus das es einen Fehler im Design der Privatsphaeren Einstellungen von Facebook gibt, hier lassen sich Mailadressen zwar fuer Freunde freischalten, jedoch im gleichen Atemzug auf der Webseite von der Timeline/Chronik verstecken, schlaue Idee. Mehr…