Guymon » Security

Off The Grid Password Generator

admin — Fri, 23 Sep 2011 09:22:46 +0000

Off the Grid von Steve Gibson ist ein spannender Ansatz für das “technologiefreie” Generieren von Passwörtern.

We designed this “Off The Grid” system to provide Internet users a uniquely and provably secure alternative to simply hoping that malicious software hasn’t, or won’t, infiltrate their personal password keeper, online password storage system, on-the-fly password generator, computer-hosted password storage vault, or whatever convenience technology is being employed to generate and/or store the passwords used to authenticate the user’s identity to remote Internet websites.

“Off The Grid” converts any website’s name into a secure password that you never need to write down, store, or remember because you can easily re-create the same secure password from the same website name the next time, and every time, you need it.

Ich denke darüber nach meine Passwörter mit diesem System zu erstellen und in 1Password zu speichern. Sollte 1Password eines Tages mal nicht mehr verfügbar sein könnte ich noch immer alle Passwörter wiederherstellen oder wenn ich nicht an einer eigenen Maschine sitze…

Possibly related posts (automatically generated)

Browser Exploit Against SSL/TLS

admin — Wed, 21 Sep 2011 13:20:28 +0000

In letzter Zeit gibt es viele schlechte Nachrichten rund um SSL/TLS, hier ist noch eine:

Die Forscher Juliano Rizzo und Thai Duong wollen kommenden Freitag auf der Sicherheitskonferenz ekoparty in Buenos Aires ein Tool namens BEAST (Browser Exploit Against SSL/TLS) vorstellen, mit dem ein Angreifer im gleichen Netz via SSL übertragene Browsercookies abgreifen und entschlüsseln können soll. (…) Gegenüber The Register gab Rizzo an, dass er dadurch ein verschlüsselt übertragenes PayPal-Cookie in unter zehn Minuten knacken könne.

Possibly related posts (automatically generated)

NSA: Security Configuration Guides

admin — Fri, 20 May 2011 07:14:20 +0000

Ich hatte mir vor einigen Jahren schon mal die NSA Vorschläge für sichere Computer Konfiguration angesehen und gerade entdeckt, dass die Vorschläge weiterhin aktualisiert werden.

Es gibt unter anderem: Hardening Tips for MAC OS X 10.6 Snow Leopard und Security Highlights of Windows 7

Possibly related posts (automatically generated)

Basic Internet Security

admin — Mon, 09 May 2011 10:31:52 +0000

Basic Internet Security via Floss Manuals:

When verbally passing a message you usually need to know your contact persons to know if you can trust them, but you also have to know your technology a little to know if you can trust it. Technologies can leak or distort your message just as humans can. Technologies are invested in types of trust relations: some devices are safer than others, some can be modified, and some are better avoided.

This book tries to address these different layers by giving hands-on explanations on how to make your digital communication and data more secure and by providing the reader with a basic understanding of the concepts of digital communication and data security. It derives from the following principles:

No method is entirely secure;

You need to have a basic understanding on how and why technology works to make it work for you;

You need technology for safer communication: either some basic tools, or more sophisticated equipment, depending on where you’re at and where you go.

Possibly related posts (automatically generated)

Website Security

admin — Fri, 06 May 2011 07:22:14 +0000

Ein “Schnupperkurs” in Sachen Website Security gibt es im Webmaster Central Blog:

Today we’ll show you some examples of how a web application can be exploited so you can learn from them; for this we’ll use Gruyere, an intentionally vulnerable application we use for security training internally, too. Do not probe others’ websites for vulnerabilities without permission as it may be perceived as hacking; but you’re welcome—nay, encouraged—to run tests on Gruyere.

Possibly related posts (automatically generated)

Gesprächs-Rekonstruktion aus verschlüsselten VoIP Paketen

admin — Mon, 21 Mar 2011 08:33:34 +0000

Gerade bei Fefe gelesen:

Heute weist mich jemand auf eine (…) Sache hin, nämlich dass man aus dem Beobachten von verschlüsselten VoIP-Paketen das gesprochene Wort rekonstruieren kann. Die Idee dabei ist, dass Voip-Sprachcodecs mit variabler Bitrate kodieren, je nach Komplexität des Signals. Wenn man also ein gutes Modell der Sprache hat, kann man mit einer gewissen Wahrscheinlichkeit Sätze rekonstruieren.

However, we show that when the audio is encoded using variable bit rate codecs, the lengths of encrypted VoIP packets can be used to identify the phrases spoken within a call. Our results indicate that a passive observer can identify phrases from a standard speech corpus within encrypted calls with an average accuracy of 50%, and with accuracy greater than 90% for some phrases.

(…) Die offensichtliche Paranoia-Lektion ist, dass man aus lärmenden Umgebungen heraus telefoniert, und untypische Formulierungen verwendet.

Possibly related posts (automatically generated)

Enable https on twitter

admin — Wed, 16 Mar 2011 08:09:44 +0000

Twitter erlaubt es nun alle Verbindungen über https laufen zu lassen.

Go to your Twitter settings page.
Tick the Always use HTTPS checkbox.
Click Save and re-enter your password when prompted.

Possibly related posts (automatically generated)

Wipe clean SSDs

admin — Wed, 02 Mar 2011 10:34:33 +0000

Über das “richtige” Löschen von Daten wurde ja schon viel geschrieben, jetzt haben sich Forscher der University of California in San Diego mal die Ergebnisse der üblichen Methoden bei SSDs angesehen:

The researchers found that as much 67 percent of data stored in a file remained even after it was deleted from an SSD using the secure erase feature offered by Apple’s Mac OS X. Other overwrite operations – which securely delete files by repeatedly rewriting the data stored in a particular disk location – failed by similarly large margins when used to erase a single file on an SSD. Pseudorandom Data operations, for instance, allowed as much as 75 percent of data to remain, while the British HMG IS5 technique allowed as much as 58 percent.

Eine (naheligende) Lösung:

The researchers found the most effective way to sanitize data on SSDs was to use devices that encrypted their contents. Wiping happens by deleting the encryption keys from what’s known as the key store, effectively ensuring that the data will remain encrypted forever.

Possibly related posts (automatically generated)

Socialnetwork Security

admin — Tue, 22 Feb 2011 07:38:14 +0000

socialnetworksecurity.org veröffentlicht Sicherheitslücken in Sozial Netzwerken.

Diese Webseite wurde gegruendet, um Sicherheitsluecken auf Social Network Portalen aufzuzeigen.
Der Autor hat in der Vergangenheit vergeblich versucht die entsprechenden Social Networking Betreiber zu kontaktieren, wurde dabei jedoch oftmals mit unzureichender Security Awareness seitens der “Ticketbearbeiter” enttaeuscht. (…) Diese Webseite soll entsprechend die Augen der Verbraucher oeffnen und durch das Aufdecken von Sicherheitsluecken auf Social-Network Seiten dazu beitragen, dass die Betreiber aktiv reagieren und die entsprechenden Sicherheitsluecken zeitnah schliessen. Die Praxis zeigt das medialer Druck auf die Betreiber einiges bewirken kann….

Possibly related posts (automatically generated)

Security Fix für xt:Commerce 3.0.4

admin — Tue, 22 Feb 2011 07:32:14 +0000

Weil ja doch noch viele Leute xt:Commerce 3.0.4 einsetzen:

Durch einen Bug in der php funktion eregi (nullbyte injection) kann durch eine Attacke das Administrator Passwort
auf ein beliebiges Passwort gesetzt werden und somit Zugriff auf den Shop erlangt werden.

Einen Patch kann man hier herunterladen.