ScusiBlog

background emmission of scusi.

Nginx Tls Config

| Comments

Wegen des Heartbleed Fehler ist gerade ein guter Zeitpunkt mal die eigene SSL config zu überarbeiten und auf den aktuellen Stand zu bringen. Daher werde ich in diesem Blogposting mal erklären wie - und was - ich da für scusiblog.org gemacht habe.

Die folgenden Anweisungen beziehen sich alle auf den webserver nginx.

HTTP Client-Anfragen auf HTTPS umleiten

1
2
3
4
5
6
7
8
9
## scusiblog.org http redirect server config ########################
#  if someone contacts us on port 80 we redirect to https
server  {
    listen scusiblog.org:80;
    #listen [::]:80;
    server_name         www.scusiblog.org scusiblog.org;
    return 301 https://$server_name$request_uri;
}
###############################################################################

Die obigen 10 Zeilen definieren einen Server auf Port 80 der alle eingehenden Anfragen dauerhaft (Return Code 301 - Moved Permanently) auf die gleichnamige HTTPS URL verweist.

Will man auch auf IPv6 Anfragen antworten muss man Zeile 5 einkommentieren (das #-Zeichen am anfang der Zeile löschen.

HTTPS Server konfigurieren

Der folgende Abschnitt konfiguriert einen HTTPS server. Will man IPv6 Anfragen beantworten muss man Zeile 3 einkommentiren. Die Zeile mit root legt das root-Verzeichnis fest, index legt die zu verwendenden Standard-Seiten fest. Der Abschnitt location sorgt dafür dass auch syntaktisch nicht korrekte - aber dennoch gern genutzte - URLs zu ihrem Ziel finden.

1
2
3
4
5
6
7
8
9
10
server {
    listen              scusiblog.org:443 ssl;
    #listen              [::]:443 ssl;
    server_name         www.scusiblog.org scusiblog.org;
    root /usr/share/nginx/www/scusiblog.org;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ /index.html;
    }

Schlüsselmaterial konfigurieren

Die nächsten zwei Zeilen sagen nginx wo SSL Zertifikat und dazugehöriger Key zu finden ist.

1
2
ssl_certificate     /etc/ssl/private/scusiblog/scusiblog_chained.crt;
ssl_certificate_key /etc/ssl/private/scusiblog/scusiblog.org.key;

Die Datei scusiblog_chained.crt ist das scusiblog Zertifikat (PEM encoded) mit daran anschließendem indermediate Zertifikat meiner CA. Diese Datei erstellt man so:

1
cat scusiblog.crt sub.intermediate.cert > scusiblog_chained.crt

Das ist oft nötig weil einige CAs zwar in den Stammzertifikaten der Browser enthalten sind aber aus verschiedenen Gründen nicht mit ihrem Stammzertifikat andere Zertifikate signieren. Es gibt noch eine Zwischenstelle, die sogenannte intermediate CA, deren Zertifikat ist vom Stammzertifikat unterschrieben, und signiert seinerseits Zertifikate von Kunden. Wenn man Kunde einer solchen CA ist, dann muss man dafür sorgen dass das Zertifikat der zwischen CA auch zum Browser des Besuchers geliefert wird. Andernfalls sucht der Browser das Zertifikat was viel Zeit (und unnötige Resourcen) beim Verbindungsaufbau kostet. Die einfache Lösung ist daher das Zertifikat der intermediate CA mit dem des eigenen Servers zusammen zu kleistern und gemeinsam dem Client zu schicken.

Protokolle und Verschlüsselungsverfahren

Als nächstes müssen noch die gewünschten Protokollversionen und die Verfahren zur Verschlüsselung konfiguriert werden. Das ist einer der eigentlich kritischen Teile.

1
2
3
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-AES128-CBC-SHA;
ssl_prefer_server_ciphers on;

Wir machen das in den obigen drei Zeilen. Zeile 1 legt fest welche Protokolle unser Server unterstützt. Die Reihenfolge ist auch Wichtig, sie gibt unsere Präferenz an. Je weiter links in der Zeile ein Protokoll steht desto lieber würden wir dieses nutzen. Wir wollen TLS1.2 nutzen, wenn es nicht anders geht nehmen akzeptieren wir auch TLS1.1 oder gar TLS1(.0). SSL sprechen wir gar nicht weil das signifikant kaputt ist.

Zeile 2 legt die sogenannten ciphers - also die Verschlüsselungsverfahren fest. Wie schon bei den Protokollen ist die Reihenfolge wichtig. Wir wollen ECDHE-RSA-AES256-GCM-SHA384sprechen wenn möglich. Bei diesem Verfahren sind die Schlüssel der Teilnehmer RSA Schlüssel, die Sitzungsschlüssel werden über das Deffie-Hellman Schlüsselaustauschverfahren (DHE) auf eliptischen Kurven (EC) basierend ausgetauscht. Der Transportstrom wird mit AES-128 geschützt und als absicherung gegen Manipulation wird der Galois/Counter Mode mit SHA384 verwendet. Das ist gerade State of the Art.

DH Parameter erzeugen und einstellen

Die DH Parameter werden für Verfahren die elliptische Kurven nutzen gebraucht und müssen erstmal - auf jedem System - neu generiert werden. Das macht man am besten mit dem folgenden openSSL Befehl. Das folgende Beispiel geht davon aus das ein 4096 bit Key für das System vorliegt.

1
$> openssl dhparam -outform PEM -out dhparam4096.pem 4096

Gegebenfalls muss die Datei jetzt an den richtigen Ort verschoben werden, z.B. nach /etc/ssl/private/scusiblog/.

In der nginx Konfiguration muss die erzeugte Datei dann noch eingetragen werden. Die folgende Zeile macht den Job:

1
ssl_dhparam /etc/ssl/private/scusiblog/dhparam4096.pem;

Saubere Elliptische Kurven

Die folgende Zeile definiert die zu verwendenden Kurven.

1
ssl_ecdh_curve secp384r1;

Strict-Transport-Security

Strict Transport Security ist ein HTTP-Header Flag welches dem Browser signalisiert dass diese Seite nur über HTTPS geladen werden soll. Der Parameter max-age gibt an wie lange in die Zukunft die Ansage - diese Seite nur über HTTPS zu laden - gelten soll. 31536000 Sekunden entspricht einem Jahr. Damit sorgen wir also dafür dass ein Browser ein Jahr lang nach seinem letzten Besuch scusiblog.org nur noch per HTTPS kontaktiert.

1
add_header Strict-Transport-Security max-age=31536000;

Sinnvolle Zeitspannen sind etwa 12 oder 24 Monate, respektive 31536000 oder 63072000 Sekunden. Kürzere Zeitspannen, vor allem unter einem halben Jahr sind inakzeptabel.

Sitzungseinstellungen

Jetzt legen wir noch fest dass unser Session Cache zwischen den einzelnen Instanzen geteilt werden soll. Die Sitzungszeit - bis ein neuer Sitzungsschlüssel ausgetauscht werden muss - stellen wir auf 10 Minuten ein.

1
2
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

Klammern schließen nicht vergessen!

1
}

Zusammenfassung

Mit einer solchen Konfiguration hat man nach dem Stand heute eine gute und sichere SSL/TLS Konfiguration. Vom Qualys SSL Test gibt es dann - bis zur nächsten Schwachstelle - auch die Bestnote A+.

Die Bewertung von scusiblog.org steht unter https://www.ssllabs.com/ssltest/analyze.html?d=scusiblog.org

Serverumzug Geschafft

| Comments

Endlich ist es vollbracht, ich hab es endlich geschafft mein blog auf eine neue technische basis zu stellen und auf einen anderen Server umzuziehen. Das SSL Zertifikat ist auch neu. Nein, das wurde nicht wg. Heartbleed notwendig - scusiblog.org war nie dagegen verwundbar - sondern stand eh an weil das alte Zertifikat in den nächsten Tagen ausgelaufen wäre.

Die Fingerabdrücke des neuen Zertifikats sind wie folgt:

SHA1 9E 79 0D 78 68 4C B1 C2 92 A4 2A EE 9C DC E2 DD AF F3 23 E9

MD5 8D 9B B3 50 6E 8D D8 4E 45 B6 B2 1D 67 D9 B3 2A

Jetzt muss ich noch die folgenden Aufgaben erledigen:

  • ein paar redirect rules schreiben damit die alten Artikel URLs weiterhin funktionieren
  • die restlichen offenen bugs fixen
  • die anderen Dienste (HTTPS-DNS, Webproxy,…) portieren.

Das wird noch ein bisschen dauern, da ich gerade wichtigere Dinge zu tun habe.

Zugriff Auf Mautdaten Durch Sicherheitsbehörden

| Comments

Wie SpiegelOnline berichtet möchte Hans-Peter Friedrich (der noch amtierende Innenminister) deutschen Sicherheitsbehörden Zugriff auf die Mautdaten geben.

Es war klar dass das früher oder später kommen würde, die Kritiker haben schon vor der Einführung des Mautsystems davor gewarnt. Damals wurde das System trozdem eingeführt mit der Einschränkung Ermittlungsbhörden keinen Zugriff auf diese Daten zu geben. Nur unter dieser Vorraussetzung wurde damals die Einführung des Mautsystems überhaupt zugelassen.

Sicherheitsbehörden (und damit auch Geheimdiensten die ihre Daten direkt mit ihren Partnern wie der NSA und dem GCHQ teilen) Zugriff zu gewähren birgt die folgenden ganz konkreten Gefahren:

  • Obwohl für das Mautsystem nur LKW relevant sind, wird jedes Fahrzeug mit Kennzeichen erfasst und fotografiert. Erst in einem nachgelagerten Schritt überprüft das System ob es die Daten für die Mauterhebung braucht, und löscht angeblich nicht benötigte Daten.

Das heißt dass mit dem Mautsystem nicht nur LKW überwacht werden können, sondern Grundsätzlich alle Verkehrsteilnehmer auf Mautpflichtigen Strecken (Autobahnen und einige Bundesstraßen). Die Geheimdienste, Polizei und Zoll können mit Zugriff auf diese Daten:

  • Bewegungsprofile aller Autobahnnutzer erstellen
  • Alle Fahrzeuginsassen auf den vordern Plätzen werden hochauflösend fotografiert, auch nachts. Dass heißt die Behörden können nachvollziehen wann und mit wem ich von wo nach wo gefahren bin.
  • Da das System automatisch die Kennzeichen ausliest, und in Maschinenlesbare Formate umwandelt kann man mit dem System automatisch nach bestimmten Fahrzeugen suchen und diese gezielt überwachen. Nimmt man Gesichtserkennung dazu kann man so auch Personenn zu Personen, zu Strecken und zu Fahrzeugen zusammenführen.
  • Kombiniert mit weiteren Sensoren und/oder Überwachungsmaßnahmen (wie z.B. einer Funkzellen abfrage oder eines IMSI Catchers) kann man dann auch Mobiltelefone einzelnen Fahrzeugen und Personen zuordnen.

Mit derlei Maßnahmen macht man Leute transparent und möglicherweise auch erpressbar. Die Geheimdienste wissen dann ganz genau wann dieser und jener Politiker mit dieser oder jener Dame sich wann und wo trifft bzw. hingefahren ist.

Bei Zugriff ausländischer Dienste kann so jeder Entscheindungsträger überwacht, ausspioniert und möglicherweise erpresst werden. Man kann damit Wirtschaftsspionage betreiben, da es relativ einfach ist wichtige Personen aus der Wirtschaft anhand ihrer Kennzeichen und mit Hilfe von Gesichtserkennung zu überwachen um zu sehen wann sie sich wo mit wem treffen.

Wir wissen dass derlei Daten, werden sie erstmal gesammelt nicht mehr gelöscht werden. Vielleicht bei uns, aber nicht bei den Partnern. Darin liegt auch die exorbitante Gefahr derlei Datensammlungen. Wir wissen nicht wie die Zukunft aussieht, wer in Zukunft Zugriff auf diese Daten bekommt und wie diese dann genutzt werden. Da das Missbrauchspotential dieser Daten ebenso hoch ist wie der Schaden im Falle eines Missbrauchs sollten wir derlei Daten gar nciht erst erheben. Nur Daten die nicht da sind sind sicher. Mehr Daten machen uns nicht sicherer, sondern weniger Daten über uns machen uns sicherer.

Ich habe ein wunderschönes Beispiel aus der Geschichte warum man derlei Daten nicht sammeln sollte. Kurz vor dem zweiten Weltkrieg gab es in den Niederlanden eine Volkszählung, wobei z.B. auch die Religion der Einwohner abgefragt und gespeichert wurde. Offiziell wollte man damit den Städtebau optimieren, damit man weiß wo man Synagogen, Kirchen und andere Einrichtungen bauen muss. Als dann die Nazis die Niederlande besetzt hatten, haben sie mit hilfer dieser gesammelten Daten alle Juden, Sinti, Roma,… abgeholt, deportiert, gefoltert und ermordet. Das war nur möglich weil ein paar Idioten gutes tun wollten und die Konsequenzen ihres handelns nicht annähernd überblickt haben. Ich befürchte das ist damals wie heute.

Im Lichte des NSA Skandals derlei gefährliche Überwachungsmaßnahmen zu fordern, die offensichtlich nicht benötigt werden - bisher ging es ja auch ohne - zeigt klar wo die Prioritäten der Regierung liegen. Der Schutz des Rechtsstaates, der Unschuldsvermutung, und die Privatsphäre der eigenen Bürger ist es sicher nicht!

Verdachtsunabhängige Rasterfahndung und Vorratsdatenspeicherung aller deutscher Verkehrsteilnehmer ist unverhältnismäßig, grob fahrlässig, macht uns alle unsicherer, untergräbt die Demokratie und den Rechtsstaat und gibt den Geheimdiensten noch mehr Daten und Missbrauchspotential.

Update Nov 7th 2013

Jemand scheint dem Friedrich und dem Krings ein neues Memo geschickt zu haben, jetzt wird öffentlich zurück gerudert. Schöner Versuch.

Überwachungsträume Der CDU/CSU

| Comments

Gestern meldete heise.de CDU und CSU wollen Internet im NSA-Stil überwachen, heute rudert die Union bereits zurück. Heise.de meldet dazu CDU und CSU rudern zurück bei Überwachung von Internetknoten. Ist ja schön wenn die Flackpfeiffen bei der Union verstanden haben was sie da anrichten würden. Allerdings sind zweifel angebracht ob dem so ist und es sich nicht viel mehr um einen taktischen Rückzug handelt.

Wie auch immer, die Wunschliste der Union finde ich interessant und würde sie hier gerne für die Nachwelt dokumentieren. Ich bin gespannt wieviel davon in der kommenden Legislatirperiode wieder ausgegraben wird.

CDU / CSU wünschen sich:

  • Strafverfolgungsbehörden (Polizei der Länder, des Bundes, das BKA, der Zoll) aber auch Geheimdienste sollen an zentralen Deutschen Netzknoten einfach alles abhören mitlesen, aufzeichnen und ausleiten dürfen.

  • Dieselben Behörden sollen anfallende IP und Standortdaten erheben und speichern dürfen. Das heißt auch die Union will hier alle Bürger anlass und ohne Verdacht auf Vorrat überwachen lassen, ohne irgendeine Kontrolle, ohne Wissen und auch ohne Rechtsschutz. Das heißt im Grunde nichts anderes als dass die rechtsfreien Räume (bei den Behörden) weiter ausgebaut werden sollen. Deutsche Behörden sollen wie ihre Kollegen in den USA Profile über jeden anlegen dürfen.

  • Nutzung der Mautdaten zur Strafverfolgung. Das wird am Ende des Tages auf eine Verdachts- und Anlasslose-Vorratsdatenspeicherung für alle Autofahrer die in Deutschland Autobahnen benutzen hinauslaufen. Noch ein riesen Datenberg für die NSA und ihre Freunde.

Diese Vorschläge sind alle Verfassungsrechtlich mindestens bedenklich, und sie haben mit Rechtsstaat und Demokratie nichts mehr zu tun. Das sind die feuchten Träume von orwellschen Überwachungsfanatikern mit Diktatoren-Allüren.

Alleine solche Dinge zu fordern zeigt deutlich wie wenig Rechtstaatlichkeit und Demokratie bei der Union wert ist, das sind alles nur leere Worte um die Leute zu in (falscher) Sicherheit zu wiegen.

Meiner Meinung nach versucht die Union mit derlei Vorstößen die demokratische Grundordunung und den Rechtsstaat auszuhebeln. Das darf nicht passieren, leider sind die SPDler so verpeilt dass sie derlei Politik noch mittragen.

Ich frage mich wirklich ob unsere Politiker wirklich so dämlich sind dass sie nciht sehen was sie tun, oder ob die Geheimdienste so viel dreckige Wäsche der Politiker gesammelt haben dass sie diese einfach erpressen.

Wie auch immer, all diese Maßnahmen machen uns nicht sicherer, sondern machen uns leichter Angreifbar und unsicherer.

They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.

Volatility 2.3 Released

| Comments

The memory forensic tool Volatility was released in version 2.3, just a couple of days ago.

Downloads can be found at: https://code.google.com/p/volatility/downloads/list

New Features are:

Mac OS X: * New MachO address space for 32-bit and 64-bit Mac memory samples * Over 30+ plugins for Mac memory forensics

Linux/Android * New ARM address space to support memory dumps from Linux and Android devices on ARM hardware * Plugins to scan Linux process and kernel memory with yara signatures, dump LKMs to disk, and check TTY devices for rootkit hooks * Plugins to check the ARM system call and exception vector tables for hooks

Windows * New plugins: - Parse IE history/index.dat URLs - Recover shellbags data - Dump cached files (exe/pdf/doc/etc) - Extract the MBR and MFT records - Explore recently unloaded kernel modules - Dump SSL private and public keys/certs - Display details on process privileges - Detect poison ivy infections - Find and decrypt configurations in memory for poison ivy, zeus v1, zeus v2 and citadelscan 1.3.4.5

* Plugin Enhancements:
     - Apihooks detects duqu style instruction modifications
     - Crashinfo displays uptime, systemtime, and dump type
     - Psxview plugin adds two new sources of process listings from the GUI APIs
     - Screenshots plugin shows text for window titles
     - Svcscan automatically queries the cached registry for service dlls
     - Dlllist shows load count to distinguish between static and dynamic loaded dlls

New Address Spaces * VirtualBox ELF64 core dumps * VMware saved state (vmss) * VMware snapshot (vmsn) files * FDPro’s non-standard HPAK format * New plugins: vboxinfo, vmwareinfo, hpakinfo, hpakextract

Truecrypt Auf Den Zahn Fühlen

Kenn White und Matthew Green, haben ein Projekt gegründet um Truecrypt einem öffentlichen Sicherheitsaudit zu unterziehen. Inspiriert von einer twitter Diskussion zwischen the grugq und Eleanor Saitta.

Die Projektseite, welche erklärt um was es geht und warum das eine gute Idee ist steht unter http://istruecryptauditedyet.com/.

Das nötige Geld für solch ein Projekt wird mit Hilfe von Crowdfunding über die Platformen FundFill und IndieGoGo gesammelt.

Ich finde das Projekt gut und wichtig und hab erstmal 120 USD gespendet. Ich hoffe der ein oder andere meiner Leser beteiligt sich auch. Damit wir in Zukunft TrueCrypt wirklich vertrauen können.

USA Stationiert Hunter Drohnen in Deutschland

Nach einem Bericht auf Russia today (RT) haben die US Streikräfte in Vilseck (Bayern) zwei Hunter Drohnen stationiert. Ab nächstem Montag (14.10.2013) sollen diese dann durch den deutschen Luftraum fliegen.

Wahrscheinlich soll geübt werden wie man Menschen anhand von elektronischen Signaturen aufspürt um sie zu überwachen und/oder zu töten. Ich mein das ist was die Militärs so machen mit ihren Drohnen. Jetzt also auch in Deutschland.

Selbstverständlich besteht keinerlei Gefahr. Das ist wie bei Atom-Unfällen, ihr kennt das. Die fliegenden Tötungsmaschienen dienen selbstverständlich nur zu Übungszwecken und werden nicht bewaffnet sein, behaupten die amerikanischen Freunde. Daten würden auch keine aufgezeichnet, ich frag mich nur wie die das Training nachbesprechen und bewerten wollen wenn sie keine Daten aufzeichnen? Betont wird auch man würde damit nicht spionieren (wahrscheinlich so wenig wie mit Bad Aibling). Ihr seht schon, geht alles mit mit rechten Dingen zu, lupenrein rechtsstaatlich - wie in Guantanamo.

Unsere Regierung hat wahrscheinlich mal wieder keine Ahnung von nichts und eh nicht vor irgendetwas dagegen zu tun. So werden unsere amerikanischen Freunde uns alles erzählen können, kontrollieren kann es eh niemand.

Update

Der Bayrische Rundfunk hat dazu auch einen Artikel online und viele Bilder

Neuen GnuPG Schlüssel

Als Teil meiner persönlichen Lehren aus den Snowden Enthüllungen habe ich mal meinen alten 1024 bit GnuPG Key in den verdienten Ruhestand geschickt und mir einen neuen 4096 bit GnuPG Key gebacken.

Schlüssel ID: 74A5D6EA Fingerabdruck: 3434 E348 C15A 069D D2A6 11FB AC62 9AC8 74A5 D6EA

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG/MacGPG2 v2.0.20 (Darwin)
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=Um8Q
-----END PGP PUBLIC KEY BLOCK-----

P.S. Ja, ist jetzt auch im Impressum entsprechend geändert und der aktuelle Key verlinkt.