Categories
Privacy & veiligheid

Going with portableapps.com

I tried, I tried hard, I couldn’t handle it. Microsoft Internet Explorer 6 without a proper Javascript-engine is a real nightmare, but officially I have to deal with it at a customer site. I could install Firefox in my homedir and use some of my limited storage space, but I would still break company policy. On the other side not having access to my sources like some Wiki’s, webmail, Safari Online, etc would stop me from doing my job basicly.

But it appears there is a solution if you can access a thumbdrive as in my case. Most thumbdrives has U3 which allows you to run software of your thumbdrive, but there is maybe an even easier solution. Most open source applications that have a Win32-port can be packaged to run of a thumbdrive. The most famous packaging sites for this is PortableApps.com.

Officially I don’t install any software on a machine and I don’t break any company policies. I doubt how long it would take before CD-drives and USB-connectors are closed again due to dataloss or stolen data. But then again, they could also offer a proper browser. It is also good to know there are companies with even stranger policies and solutions. Security should be about enabling people not trying to stop them as they will work around the issue sooner or later to get things done.

Categories
Privacy & veiligheid Technologie & techniek

OpenPGP en SHA1

Dat MD5 namespace collissions had welke steeds serieuzere vormen begon aan te nemen was al een feit en voor SHA-1 waren ook al problemen te voorzien aan de toekomst. Helaas lijken voor SHA-1 de vorderingen sinds november 2008 en nu zo snel te gaan dat het een probleem begint te vormen zoals ook uit een posting is te halen:

Last week at eurocrypt, a small group of researchers announced a fairly serious attack against the SHA-1 digest algorithm, which is used in many cryptosystems, including OpenPGP. The general consensus is that we should be moving in an orderly fashion toward the theater exits, deprecating SHA-1 where possible with an eye toward abandoning it soon (one point of reference: US gov’t federal agencies have been directed to cease all reliance on SHA-1 by the end of 2010, and this directive was issued before the latest results).

Vooral de regel dat de Verenigde Staten van Amerika SHA-1 voor het einde van 2010 in de ban doet geeft mogelijk aan hoe serieus de zaak is. En met oa de MD5 problemen in veel X.509-certificaten nog vers in het achterhoofd wordt het misschien tijd om sommige hashing- en encryptiemethodieken in de ban te doen.

En hoewel het eerste gedeelte van de oplossing nog redelijk onschuldig is met de aanpassingen van de voorkeuren blijft de vraag was er bij het tweede gedeelte te winnen is nu. Zeker aangezien dat het een stuk verder ingrijpt dan nu mogelijk wordt voorgeschoteld. Om binnen 90 dagen over te stappen gaat veel problemen opleveren in the-web-of-trust waarbij de vraag misschien ontstaat of X.509-certificaten zoals van CACert geen betere lange termijn oplossing blijken. Maar een ding is wel duidelijk en dat is dat er meer speelt dan nu duidelijk is aangezien de VS op hoog tempo nu ook SHA-1 wil uitfaseren en sommige protocollen zoals DNS over wil hebben naar DNSSEC.

Categories
Privacy & veiligheid

Beveiligde draaideuren

Veel panden zijn voorzien van draaideuren met een paslezer om ze te bepalen wie oa naar binnen en buiten mag. Dit lijkt een veilige constructie, maar soms kan je als techneut je nieuwsgierigheid niet bedwingen en ga je op zoek naar de zwakke punten. Zo ook vandaag bij een draaideur welke als veilig werd gezien, maar probleemloos twee personen tegelijk toe liet in dezelfde afgesloten sectie.

Deze situatie toonde aan dat piggybacking mogelijk was en hoewel dit een normaal kantoorpand was blijft het dubieus dat een beveiligingsdeur dit toestaat. Ook zeker omdat veel beveiligde deuren in een pand meestal klapdeuren zijn waarbij je probleemloos kan meelopen als je handig bent. Een feit wat ik recentelijk ook weer mee maakte bij een opleidinginstituut waarbij ik probleemloos kon meelopen met andere medewerkers in dat pand. En dit soort onderdelen van social engineering is precies wat oa social engineering leuk maakt, maar ook gevaarlijk in sommige gevallen.

Categories
Privacy & veiligheid

Harddisk voorzien van rotzooi

Het klinkt misschien raar, maar er zijn applicaties om bijvoorbeeld een harddisk te voorzien van random data. Maar waarom eigenlijk, want waar is het goed voor. Een harddisk moet bruikbare informatie bevatten, tenzij je hem wil verkopen zonder gevoelige data erop. Maar bijvoorbeeld ook als basis voor een harddisk met geencrypte volumes zodat de ondergrond voldoende willekeur bevat.

Het commando wipe kan een partitie of een volledige harddisk overschrijven met random of pseudo-random data en met een hoge iteratie wordt de kans kleiner dat originele data nog terug te halen is.

$ sudo wipe -Q 32 -ik /dev/sdb

Een advies is wel om goed te controleren wat je doet voordat je het commando wipe gebruikt, want een weg terug is er niet meer in bijna alle gevallen.

Categories
Internet, Unix en security Privacy & veiligheid

Google Analytics buitensluiten

Volgens de voorwaarden van Google mag je Google Analytics alleen gebruiken als je dit duidelijk kenbaar maakt op je website, maar daar ontbreekt het bij bijna alle websites aan. En nu klinkt dat niet heel erg, maar wel als je ziet wat voor impact Google Analytics heeft op de relatie tussen aanbieder en gebruiker.

Bij het gebruik van Google Analytics wordt gebruik gemaakt van een JavaScript om bijvoorbeeld bij te houden wat voor schermresolutie en kleurdiepte de gebruiker heeft, maar ook waar opgeklikt wordt inclusief tijdsmetingen. De vraag is dan ook of je deze gegevens wel wil delen met een derde partij in de Verenigde Staten. Nu is dit meestal een keuze van webmaster waar de gebruiker weinig inspraak op heeft.

Of heeft de gebruiker wel een keuze? Een optie is om het bijvoorbeeld met behulp van Adblock Plus af te vangen, maar een andere optie is om het met behulp van de hosts-file af te vangen. Simpel een regel opnemen in de /etc/hosts zoals hieronder stopt de communicatie met Google Analytics.

127.0.0.2       www.google-analytics.com

Hiermee komt ook de vraag of je als webmaster geen ethiek moet hebben hoe je met je gebruikers omgaat.