Archiv

Artikel Tagged ‘Security’

Nexus 5x, root und OTA Systemupdates

31. März 2016 4 Kommentare

nexusNach einer kurzen Exkursion Richtung Samsung Galaxy S6, bin ich wie ein geschlagener Hund wieder zurueck zu meinem Nexus. Das SGS6 ist hardwaretechnisch grandios, super verarbeitet, schick und edel, dem weicht nun ein schlichtes Nexus, dessen Design ja bekannt ist, spaetestens jetzt :).
Plastik dem edlen Material und warum das? Weil die Software auf dem SGS6 ein Grauen ist.
Es gibt noch immer keine Vanilla Roms fuer das SGS, wird es wohl auch kaum noch geben nehme ich an, also muesste man mit TouchWiz leben und das kann ich einfach nicht.
Viel zu gruselig schon das Kontaktbuch, viele komische kaputte Verknuepfungen die sich nicht aufloesen lassen, um nur ein Beispiel zu nennen.

So nun genug geredet, natuerlich war der erste Weg: Root und wir kennen es ja, sobald man root auf seinem Geraet hat, ist das mit OTA Updates so eine Sache. Mehr…

Udopi serviert nun mit nginx und spdy

2. Februar 2015 Keine Kommentare

Nginx-logoImmer oefter bin ich an Ecken und Kanten gestossen in denen mit der Lighttpd einfach nicht ausreichend war, eigentlich hatte es selten wirklich gestoert, aber dennoch wollte ich dem nginx eine Chance geben.
Das ist nun schon ein paar Monate her und irgendwie hatte ich ihn schnell wieder verworfen, wieso weiss ich heute nicht mehr, auf jeden Fall habe ich mich in den letzten Tagen etwas mehr mit nginx beschaeftigt nun nun laeuft die Maschinerie die Udopi serviert auf nginx.
Die Umstellung von php-fcgi auf fpm-php mit Sockets stellte sich als recht schmerzfrei heraus, jedoch fehlen mir ein wenig die eigenen php.ini Files.
Nachdem das Geruest nun lief sollte man der Meinung sein, das bisschen Software was hier laeuft wird auch keine Probleme machen, so hatte ich auch keine mit WordPress oder dem Mediawiki und auch der andere Kram der so in irgendwelchen Testecken verweilt laeuft problemlos, aber klar, irgendwas ist immer, diesmal heisst es mal wieder Gallery3.
Naja die „Entwickler“ schreiben ja schon: Only support for Apache… Mehr…

Nach Silkroad und Hydra Schliessung: Wie sicher ist TOR?

11. November 2014 Keine Kommentare

torsaEine internationale Operation erschuettert erneut den Anonymitaetsgedanken im Netz, Operation „Onymous“ nennt sich der Schlag gegen den Online Drogenhandel.
Soweit eigentlich ein loebliches Ziel, den Handel mit harten Drogen einzudaemmen, so moechte man meinen (dieser Blog ist uebrigens keine Plattform um ueber die Pros und Kontras von Legalisierung gewisser Substanzen zu philosophieren), doch handelte es sich bei den insgesamt 4 Onlineshops welche offline genommen wurden um sogenannte Hidden Services aus dem Darknet.
Das heisst, dass nun ganz offiziell Hidden Services enttarnt wurden und somit scheint TOR ein massives Problem zu haben mit der eigenen Infrastruktur, die Betreiber von TOR stehen vor einem Raetsel und schreiben auf Ihrem Blog, dass sie nicht wissen wie es dazu kommen konnte.
Es gibt ein paar vage Vermutungen, eine davon spricht von dem Beschlagnahmen einiger Exit Nodes, Sicherheitsluecken in den Shops oder die Tatsache, dass Bitcoins eben nicht so anonym sind, wie es scheint wie Ivan Pustogarov aufgezeigt hat.
Im Grossen und Ganzen kann man nur sagen, dass TOR erneut Schwachstellen zeigte und man sich auf gar keinen Fall alleinig auf diesen Service verlassen darf. Mehr…

Das Ende einer Aera: Full Disclosure stellt den Service ein *Update*

19. März 2014 Keine Kommentare

disclosureJa es mag klingen wie ein schlechter Scherz oder wie eine mittelmaessige Katastrophe, aber sie tritt ein.
John Cartwright schreibt heute auf der FD Mailingliste das der Service eingestellt worden ist und spricht klare, wahre und zugleich traurige Worte.
Es scheint den Gruendern und Betreibern der ML nicht mehr moeglich sein diese aufrecht zu erhalten und damit geht eine Aera zuende.
OpenWall stellt ein Archiv zur Verfuegung und versprechen aktuell das dieses auch online gehalten wird, leider fehlt aber noch ein Betreiber der alten ML und wir koennen hoffen das sich dieser noch findet.
Alternative ML waeren Bugtraq und oss-security@lists.openwall.com, jedoch erreichen beide nicht annaehernd das Format das Full Disclosure hat, damit zu den Abschiedsworten von John: Mehr…

Emergency Selfdestruction von LUKS (unter Gentoo)

8. Januar 2014 Keine Kommentare
cryptsetup

(c) kali.org

Neues Jahr, neuer Blogspot.
Fuer die Paranoiden Verschluessler unter uns haben die Jungs von Kali Linux einen alten Cryptsetup Patch ausgegraben, das Original stammt von Juergen Pabel. Mittels diesem Patch ist es moeglich einen Selbstzerstoerungsmechnismus fuer seine LUKS Devices anzulegen, dieser wird bei der Eingabe des Passworts getriggert. Wird nun statt dem Passwort welches zur Entschluesslung genutzt wird das Notfall Passwort eingegeben, wird nicht entschluesselt sondern alle Keyslots werden geloescht und somit ist eine Entschluesslung der Devices nicht moeglich. Mehr…

EC-Council ECSA & LPT

eccouncilJetzt ist es bald soweit, es geht wieder nach Rotenburg fuer mich ins naechste EC Council Bootcamp, nachdem ich dort bereits den Certified Ethical Hacker absolviert habe nun die 2. Stufe zum „Certified Security Analyst“ und „Licensed Penetration Tester“.

20 Module sollen es werden:

 

  • Methoden fuer Penetrationstests
  • Kunden und Vertraege
  • Planung und Scheduling von Penetrationstests
  • Sammlung von Informationen
  • Schwachstellenanalyse
  • Interne / externe Netzwerk-Penetrationstests
  • Penetrationstests – Router / Firewalls
  • Penetrationstests – gestohlene Laptops, PDAs und Mobiltelefone
  • Penetrationstests – physische Sicherheit Mehr…

Spass mit NFC und Mifare Classic

16. Mai 2013 20 Kommentare

1337Sicherlich kein neues Thema, aber meine aktuelle Spielwiese: Near Field Communication und Mifare Classic 1k Chips.
Im Zuge meines Jobs als Pentester und IT Security Agent in meiner Firma kam natuerlich das Thema Zutrittskontrolle und Co auf den Tisch, unter anderem setzen wir bei uns ein Zahlungssystem ein welches von einem grossen Schweizer Konzern verwaltet wird, um Heissgetraenke aus Bohnenextrakt zu bezahlen.
Jeder Mitarbeiter der moechte bekommt einen Chip welcher mit einem Betrag aufgeladen werden kann, bei uns waeren das 5 Euro, 10, 20, 50. Moechte man nun ein Heissgetraenk haben, macht man sich auf den Weg zum Bohnenpadspendeautomat und erhaelt fuer 20 Cent ein Pad.
Unsere Firma ist so gut, das sie uns den Differenzbetrag den die Pads wirklich kosten zusteuert, nichts desto trotz war natuerlich meine Neugier geweckt, was sind das fuer Chips?

Mit einem Android Handy und NFC Tag Info war schnell klar es handelt sich um NFC Chips mit MiFare Classic 1k, einer Verschluesselung die seit einigen Jahren gebrochen ist und dennoch weltweit massiv genutzt wird, Quellen zu Folge basieren ca. 80% der eingesetzten Zahlungssysteme auf dieser alten Technologie. Mehr…

DNSCrypt fuer bessere DNS Sicherheit

21. Dezember 2012 Keine Kommentare

OpenDNS hat die Sourcen fuer ein Tool offengelegt welche den DNS Verkehr zwischen dem Client und den OpenDNS Servern verschluesselt, aehnlich einer SSL Verbindung.
Somit kann der DNS Traffic vor Abhoeren und ‚Man in the Middle‘ Attacken abgesichert werden.
Die noetigen Schritte hierfuer sind denkbar einfach, OpenDNS stellt die Sourcen auf GitHub bereit oder man laedt sich den aktuellen Sourcetarball auf der CryptDNS Page.
Weiterhin werden auch schon fertige Pakete fuer OSX und Windows angeboten.

Nach der Installation und dem Starten des Daemons werden die DNS Anfragen an die OpenDNS Server nicht mehr via Port 53 verteilt sondern laufen ueber 443/https und der Vergleich der Pakete ist schoen hier zu sehen: Mehr…

Bye MySQL, Willkommen MariaDB

4. Dezember 2012 Keine Kommentare

Gestern war es ueberall zu lesen, Oracle hat einmal mehr gepennt mit seinen Updates fuer MySQL und ‚kingcope‘ oeffnete seine Spielzeugkiste und hat hier einige Exploits fuer MySQL auf den Weg geschickt in die grosse weite Welt.
Unter anderem sticht ein Kommentar ins Auge welches von Sergei Golubchik verfasst wurde, dem MariaDB Security Coordinator:

MariaDB is not vulnerable as of 5.1.66, 5.2.13, 5.3.11, 5.5.28a.
Latest released MySQL versions are still affected, but Oracle knows
about this issue, so next versions won’t be.

Somit wurde das letzte Stueck Oracle von Udopi entfernt, Java hat es ja schon vor einiger Zeit getroffen. Mehr…

HTC nicht in der Lage Advisories zu bearbeiten…

21. Juni 2010 Keine Kommentare

Vor einigen Tagen habe ich mich an HTC gewendet und diese ueber eine kleinere Schwachstelle in Ihrem Produkt HTC Sense fuer Android hingewiesen.
Nun eigentlich koennte man erwarten, dass man auf eine deratrige Mail auch eine entsprechende Antwort bekommt, aber naja wie so oft weit gefehlt.
Meine erste Mail wurde mit der Frage nach IMEI und Softwareversion beantwortet, soweit ok auch wenn die Kollegen eigentlich wissten muessten mit welcher Version ein Desire ausgeliefert wird. Ich habe in meiner Antwort nochmals darum gebeten die entsprechenden Entwickler zu informieren und ggf. einen direkten Kontakt zu mir herzustellen.
Diese Anfrage wurde nun mit einem:

Fuer einen Direktkontakt mit voraussichtlicher Ruecksprache der entsprechenden technischen Entwickler, muessten Sie sich an folgende Abteilung wenden: Taipei Engineering Office 1F, 6-3, Bau-Chian Rd., Hsin-Tien, Taipei 231, Taiwan, R.O.C. Tel: +886-2-89124138 Fax: +886-2-89124137

abgedroschen. Soweit ok, nur finde ich hier keine Mailadresse, erwartet die Dame im Callcenter denn nun wirklich das ich in Taiwan anrufe und versuche jemanden ans Telefon zu bekommen der dem Englischen maechtig genug ist um mit mir zu telefonieren?
Eine eMailadresse findet sich auf der in der eMail genannten Seite ebenfalls nicht. Soweit so gut ich habe nun noch ein letztes Mal gebeten den Kontakt herzustellen, ansonsten eben einfach wie so oft ein Full Disclosure und bei der naechsten Luecke die gefunden wird, wird der Kontakt zu HTC eben gleich gespart.
Ich gebe zu es handelt sich hierbei um keine grossartige Schwachstelle, aber es geht hier ums Prinzip.
Es wird nun noch 3 Tage gewartet und dann eben den unschoenen Weg gegangen, fuer die Zukunft kann man HTC dann wohl aufnehmen im Club der: „Spart Euch Vorankuendigungen“-Firmen.

(Quelle: Androcom.net)