Category Archives: security

Verkiezingen 2012

We hebben de verkiezingen alweer even achter de rug en dit keer heb ik per e-mail moeten stemmen omdat
ik anders te laat zou zijn (de aanvraag). Ik protesteerde daar tegen omdat ik een kopie van mijn paspoort per
email moest versturen. Ze wilden daar verder niet naar luisteren (het is zo of niets). Gedaan en ik kreeg zowaar
het stembiljet op tijd binnen, blijf met de manier waarop was ik echter niet.

Vandaag kreeg ik ineens een mailtje van noreply@denhaag.nl met de volgende tekst.

Geachte heer xxxxxxxxxxxxxx,=20

Een knelpunt bij het stemmen uit het buitenland is dat u uw stembescheid=
en soms niet op tijd ontvangt om ze tijdig terug te kunnen sturen. Het m=
inisterie van Binnenlandse Zaken en Koninkrijksrelaties spant zich in om=
 dit op te lossen. Doel is te komen tot een stembiljet dat eerder of via=
 e-mail kan worden toegezonden. Als het stembiljet eerder in uw bezit is=
, heeft u meer tijd om de door u uitgebrachte stem terug te zenden.=20
Het is van groot belang dat er getest wordt of u als kiezer overweg kunt=
 met het nieuwe stembiljet en er geldig mee kunt stemmen. Daarom doet he=
t ministerie een dringend beroep op u om mee te doen aan een test. =20

Meedoen met de test
Als u wilt meedoen met deze test voor kiezers die vanuit het buitenland =
kunnen stemmen, ga dan naar www.teststembiljet.nl/aanmelden  U ontvangt =
daarna een e-mail van de organisatie die de test uitvoert in opdracht va=
n het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Werkt de link niet? Stuur dan een e-mail naar aanmelding@teststembiljet.=
nl.

Een testbiljet invullen en terugsturen
Als u deelneemt aan de test ontvangt u een e-mail met een testbiljet en =
uitleg over hoe u met het testbiljet een stem kunt uitbrengen. Om die te=
ststem uit te brengen, wordt u verzocht het testbiljet te printen. Het t=
estbiljet bevat alleen fictieve partijen en kandidaten. Nadat u uw keuze=
 heeft gemaakt, stuurt u het biljet zo spoedig mogelijk in een eigen env=
elop en gefrankeerd naar Nederland.=20
Het is helaas voor het ministerie niet mogelijk om u in het buitenland e=
en gefrankeerde envelop toe te sturen. Hopelijk bent u, gelet op het bel=
ang van deze test, bereid om de kosten van de envelop en de frankering v=
oor uw rekening te nemen. Het is niet mogelijk een scan van uw ingevulde=
 stembiljet per e-mail terug te sturen. Immers, een echt stembiljet zult=
 u ook met de post moeten verzenden. Het is essentieel dat u het testbil=
jet terugstuurt zoals u het heeft geprint en ingevuld. Alleen zo kan in =
de test worden beoordeeld of u met het nieuwe stembiljet een geldige ste=
m kunt uitbrengen. Uw deelname is belangrijk om te kunnen besluiten over=
 de introductie van het nieuwe stembiljet en om eventuele verbeteringen =
aan te brengen.=20

Helpdesk voor vragen
Misschien heeft u eerst nog een vraag of is iets niet duidelijk? Dan kun=
t u via helpdesk@teststembiljet.nl uw vraag stellen. U ontvangt zo spoed=
ig mogelijk antwoord. U kunt niet via dit e-mailadres van de gemeente De=
n Haag reageren.=20


Met vriendelijke groet,

Bureau Kiezers buiten Nederland


Als u meedoet aan de test, ontvangt u een e-mail met het testbiljet van =
organisatie@teststembiljet.nl.

Laat ik voorop stellen dat ik nooit een verzoek heb gekregen om in dit soort testen
mee te draaien, laat staan dat ik het ministerie ooit toestemming heb gegeven om mijn
email adres te gebruiken voor communicatie via derden. De link die in het mailtje staat
verwijst in het mailtje naar www.teststembiljet.nl/aanmelden. Klik je daar op dan kom
je echter op:

http://onderzoek.cgselecties.nl/aanmelden


Wil hier nog even bij opmerken dat dit een formulier is dat geen enkele beveiliging kent. Gewoon plaintext invullen en maar hopen dat het goed terecht komt. Erg vreemd.

Stoute schoenen aangetrokken en eens met de heer Slagter/Slachter? van CGselecties aan de telefoon
gehangen. Hij klonk erg ingetogen en leer bereid te zijn om mij allerlei informatie te geven.
Blijkbaar zit het bedrijf FirMM als opdrachtgever tussen hun en het ministerie in. Heb hem wel laten
weten dat ik dit bij de opta ga neerleggen en dat ik zeer benieuwd ben naar de uitkomst.

Ik kreeg vervolgens ook nog 2 06 nummers van dames die bij dit project zijn betrokken voor de firma FirMM.
Deze hadden echter beiden hun voicemail op staan en die bel ik van de week nog wel eens.

De headers tonen in ieder geval dat het via de mailserver van denhaag.nl naar buiten gaat:

 

Received: by 10.76.33.73 with SMTP id p9csp44595oai;
Fri, 9 Nov 2012 05:18:55 -0800 (PST)
Received: by 10.180.108.38 with SMTP id hh6mr2630288wib.0.1352467134768;
Fri, 09 Nov 2012 05:18:54 -0800 (PST)
Return-Path: <noreply@denhaag.nl>
Received: from smtp.denhaag.nl (smtp1s.denhaag.nl. [217.68.49.17])
by mx.google.com with ESMTP id gb1si1665410wib.18.2012.11.09.05.18.54;
Fri, 09 Nov 2012 05:18:54 -0800 (PST)
Received-SPF: pass (google.com: domain of noreply@denhaag.nl designates 217.68.49.17 as permitted sender) client-ip=217.68.49.17;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of noreply@denhaag.nl designates 217.68.49.17 as permitted sender) smtp.mail=noreply@denhaag.nl
X-SBRS: None
X-Sender: AppsOut
Received: from sw177.ka.haagnet.net ([172.23.100.73])
by smtp.denhaag.nl with ESMTP; 09 Nov 2012 13:55:41 +0100
Received: from SW177 ([172.23.100.73]) by SW177.ka.haagnet.net with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 9 Nov 2012 13:56:17 +0100
MIME-Version: 1.0
Date: Fri, 09 Nov 2012 13:56:17 +0100
X-Priority: 3 (Normal)
Subject: Test met nieuw stembiljet voor kiezers in het buitenland
From: noreply@denhaag.nl
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable

Over de firma FirMM is het volgende te vinden:

firMM is an information+service design consultancy, founded by Judith Mulder and Francien Malecki. We create succesful dialogues for organisations that heavily exchange information with their clients. Information+service design leads to better customer experiences, reduced costs, increased return on investment and new opportunities.

Ik mag toch hopen dat deze dames niet door het ministerie op een project zijn gezet waarbij ze de prive gegevens van Nederlanders zomaar kunnen inzien en gebruiken bij andere commerciele bedrijven!

 

Volgende week deel 2.

Linkedin passwords compromised

Today, June 6th of 2012, the news came out that Linkedin passwords have been compromised. Over the years there have been a lot of discussions on what is a safe way to store, but also to choose a safe password. Assuming the provider of the service you are using is using a very insecure method to store password but are encoding them can give you some examples on how to choose a new one.

This example provides some links to find, test and create a password in md5 without the password being hashed _and_ salted.

Online there are some tools to help you disclose passwords for md5 encrypted passwords. They are also known as rainbow table services. You just grab an md5 encoded password and you check it on the website. One of them is used here, if you search for online rainbow table search you will find others too.

http://www.tmto.org/pages/passwordtools/hashcracker/

In the left box you paste up to 10 md5 hashed passwords and it will give you the password if it has it in the database. Some examples

password: linkedin
md5 string:  f1576406b382b7d1c8c2607f7c563d4f

password: gmail
md5 string  de01c1d48db6c321c637457113ed80d5

password: grandpa
md5 string: 224c1c878dec9c52ea8a8aaaf46a8872

password: semperfi
md5 string: 073de059ab0b79721180e1f87440d4fe

The checker displays the passwords for all of them:

f1576406b382b7d1c8c2607f7c563d4f:linkedin
de01c1d48db6c321c637457113ed80d5:gmail
073de059ab0b79721180e1f87440d4fe:semperfi
224c1c878dec9c52ea8a8aaaf46a8872:grandpa

As you can see the most common words are known already. If a site like linkedin is using md5 encryption only and someone is able to get the passwords they only need to run them through such a service (be aware, it is not hard to build something like this).

Use stronger password people. An unknown word combined with digits and other signs will make it very hard to decrypt it. Once you have chosen a password check it against a rainbow database to see if it is know there. If it is choose another one. It is not hard to imagine other encryption tools will have a simular database.

To generate md5 strings of a password you could use a database like mysql but I am sure there are some other tools for it too. In mysql you just run the following query:

select md5(‘linkedin’);

Sopa/Pipa, etc…a

Maybe we should be prepared to a completely different kind of internet once SOPA and PIPA get accepted. It indeed will be a very poorly informing network that will only have common sites hosted by isp’s who are scanning everything with deeppacket inspects to see if anything ‘illegal’ will be posted.

Here in Europa a lot of companies, mostly German as far as I know, are already scanning Tor, Torrent usage, proxies, etc.. These are mostly companies that act for movie produces like Paramount and other local producers. They are acting like normal users and are gathering information about ipnumbers, etc..

If a user is down/uploading illegal stuff within a country where they can act they will ask for the user address and details like the official name, etc.. This is done with a court order. After that they will offer the down/uploader a plan to plea guilty and to pay a fine (never do that, hire a specialized lawyer).

Some six months ago these companies also started contacting ISP’s in countries where they have no rights to act. Most of the ISP’s are working global or European. They are contacting their customers to make sure their users are stopped uploading (in the Netherlands) and downloading (in countries) copyrighted stuff.

Now let’s consider the following. There is this world wide isp that is hosting fiber for local operating fiber users. Let’s call them Ziggo, Casema, T-Online, Comcast, whatever. The current bills like SOPA and PIPA might not give the US the rights to kill those sites but they will put presure on the world wide isp to do something about this. They might even put presure on the dns root server maintainers to act.

In the end this isp will need to block local isp’s to make sure they can survive in other parts of the world.

Alternatives will be started. Anonymous might start their own dns system, there is opendns, there are other alternatives. This does not help you if your provider is not allowed to connect to the network….

Let’s stop all of those stupid bills.

Eindelijk een gratis ssh client voor de iPad

Was er al een poosje naar op zoek. Het is van de gekke dat een ssh client geld moet kosten.

Mobile Admin (Rove) stelt je in staat om naast een aantal andere zaken een ssh connectie op de bouwen.

Even zoeken in de appstore dus.

Oracle certificates

A while ago I was asked to do a pre employment scan. Not that they did not trust me, I am working for my employer for nearly 6 years, but some customers might decide to choose for our company.

Since I moved to Germany a few years back I still have papers hidden in boxes, including my Oracle certificates. The copy we had scanned was a little unreadable. I asked the company doing the pes to contact Oracle and ask them if I indeed graduated for it. To my surprise they answered Oracle is not willing to provide details about this to a third party. Now how does one need to check if these are real? The certificate itself is rather simple (if I remember correctly). It would be easy to create a false one, provide it to anyone who askes for it and be certified in their eyes.

Anyone willing to clear this? Is the company who checked me not able to get this information or is this a true story?

php security

Today I visited an irc channel where some core developers are having a chat. They hang out, they chit chat and sometimes even talk about php.

Was approached by a developer who stated he has the next big cool thing. A framework/objectbase that enables you to do anything (a very true statement). Somewhere in this talk it mentioned security. I’ve been out of this for a long time but it still has my private focus. I asked a few questions and the original coder asked me to audit it.

There are a few things I ask before  I start auditing.

1. Is that your site?
2. Is your code security aware?
3. Do you mind a full disclosure after I have given you the time to fix it.

I still need the answer to item number 1. It took me a few minutes to create a username that only was visible for someone using the mysql commandline tool to look in the database. The admin interface did not show it.

If item 1 is answered and item 3 is answered positive a fix in my name might be posted by the creators.

SpiderOak – backup client

Al een poos geleden ben ik begonnen met een gratis backup client van SpiderOak. Je kan er 2 Gb mee in een remote backup zetten. Het was tijd om ook de eee maar eens goed erin te hangen. Installatie gaat met een debje dus voor Ubuntu was er een officiele versie die zelfs in de update checks mee loopt, jammer genoeg niet met validatie.

Vanavond de boel weer even laten lopen en wat updates verzonden. Geen probleem, het liep allemaal goed. Echter, na het afsluiten van de client bleef ik heel zachtjes de HD horen ratelen. Blijkbaar bleven er een aantal processen hangen waaronder een inotify_dir_watcher.

/usr/lib/SpiderOak/inotify_dir_watcher 6059 /home/hans/.S….

In de logfiles zie ik dat er blijkbaar een DEBUG optie enabled staat.

2010-10-07 21:46:06,656 DEBUG    oak                  status: signal: ss.currently_polling_directory:

Wat jammer dat dit default aan staat, het triggerde me wel om eens te kijken naar hoe de config dir er nu eigenlijk uit ziet. Wat mij eigenlijk op valt is dat er veel aandacht in de client security is voor het remote gedeelte, ze gebruiken sleutels die niet zomaar zijn op te ontsleutelen door het te sniffen. De configdir zelf is echter waardeloos op het gebied van security. Ik wil nog even voorzichtig zijn met het beweren dat dit aan SpiderOak ligt, het aanmaken van gebruikers binnen Ubuntu laat ook veel steken vallen. Bij het aanmaken van een account met de grafische tools krijgt een gebruiker netjes een eigen groep. Echter, als je dan ziet dat de homedir van de gebruiker lees en execute rechten voor iedereen heeft ga je je achter de oren krabben. Hierbij kom ik gelijk bij het probleem dat SpiderOak heeft. Ze gooien die config dir met de zelfde rechten op het systeem.

drwxr-xr-x   6 xyz xyz     4096 2010-10-07 22:08 .SpiderOak

Hierin staan diverse directories en files. Elke file is te lezen en zo kun je dus als een andere gebruiker zomaar iemands logfiles doorspitten en zijn/haar sqlite 3 databases bekijken zonder dat je wachtwoorden hebt.  Je kunt je afvragen of je als thuisgebruiker problemen ermee moet hebben. Zelf heb ik dat niet maar ik zou er niet aan moeten denken dat men dit op een shared hosting platform zou gebruiken waarbij alle gebruikers kunnen zien wat andere mensen kunnen uploaden.

Er zijn nog wel meer problemen maar daar kom ik nog op terug als ik een reactie van SpiderOak heb ontvangen.

 

 

%d bloggers like this: