Jabber via TOR…

The torproject just released ‘Tor Messenger‘. It’s an instant messaging application that allows you to communicate via XMPP (jabber) over the Tor network. It is based on Instantbird.

It is important to know that the client will mask from where you are connecting, but it will NOT mask who you are! This is due to the fact that your alias at the jabber server was probably created beforehand. And even if you create the alias with Tor Messenger, your connections to other users make it possible to identify you.

If you want to chat REALLY Continue reading “Jabber via TOR…”

Flattr this!

Cheap and Free SSL/TLS Certificates…

I recently was pointed to a website where one can get really cheap SSL certificates (Danke Oliver).
They sell certificates, signed by GeoTrust, Comodo, RapidSSL, Thawte and Symantec. As CheapSSLSecurity is a major reseller they can offer a really low price. If you take a 3 year certificate you get as low as 5$/year.

I am aware that there is an offer for FREE SSL Certificates out there. The drawback is however, that they are free to get, but cost 25$ to be revoked.

There are also efforts on the way to make encryption free and easy to use: Let’s Encrypt is a free and automated open-source certification authority. Their plan is to offer free certificates in summer 2015.
If you can wait for this service, it should be the cheapest option. To learn more about Let’s Encrypt, watch the talk that was given at 31c3 (icon-magnet magnet link).

And of course there is CAcert. They are a community driven assurer, which I’ve been using for many years. They however did not yet manage to be included in popular web browsers. Using their certificates will likely trigger warnings with normal desktop setups. Their certificates are free and depending on your involvement they grant certificates for up to two years.

Personally I’m using CAcert for most certificates, but whenever a broader audience should be able to connect without warnings these certificates become combersome. This blog is using a Comodo certificate via cheapsslsecurity.

Update 2015-01-03 14:00: added the Let’s Encrypt video from 31c3.

Update 2015-01-16 12:30: A user comment pointed at www.cheapsslshop.com, which seems even cheaper at $3.5/year, with a new years discount code (“CMDXMAS50”). Thanks.

Update 2016-02-04 07:30: Let’s Encrypt is issuing for a few weeks now, and they just issued their 500.000th certificate today.

Flattr this!

Fail2ban country statistics…

I was lucky enough to seize a “Raspberry Pi Colocation“-slot for my Raspberry Pi.

To secure it further I just recently installed fail2ban.
The software basically detects login attempts and blocks the IP for some limited time in the future. This prevents a depletive password guessing for server logins.

I was interested in the password-guessers` country of origin. Now I can confirm, at least for my Raspberry Pi, that most attacks come from China.
110 CN
2 UA
2 RU
2 DE
1 VN
1 PE
1 KR
1 CZ
1 BD

the quick and dirty command for this looks like this: (you need to have ‘whois’ installed)

for i in `sudo cat /var/log/fail2ban.log | sed 's/.*[Bb]an \(.*\)/\1/' | sort | uniq | cut -d ' ' -f 1 | grep "\."`; do
echo $i; whois $i | grep country\: |head -n 1 >> fail2ban_ctry.log ;
done
cat fail2ban_ctry.log fail2bancry2.log | sed 's/country: //g' |sort | uniq -c |sort -nr

Flattr this!

Adding SSL to transmission’s web interface…

If you’re using transmission’s web interface to manage your torrent downloads, and you are doing this remotely (from outside your LAN), you might want to add some privacy.

As previously posted there are ways to use magnet links with transmission’s web interface. This webinterface works well when you are on your local network aka LAN and don’t have to fear prying eyes.
The moment you’re using the transdroid android app or your laptop in a coffee shop the commands and responses of your transmission daemon at home can be read by anyone.

Luckily the transdroid android app offers an SSL option. All you have to do is configure a proxy on your transmission daemon machine.

Here is how:
Install nginx (a lightweight http/https server):
apt-get install nginx
Continue reading “Adding SSL to transmission’s web interface…”

Flattr this!

loops and stretching with urlshorteners…

there has been some discussion (via @mstrohm) on the security of urlshorteners and i have been thinking about this the past days.

putting the problem of the bottle neck aside it leaves us with the possibility of spamming and/or loops and missing transparency when looking at urlshortening services. let’s say the advantage of shortening urls has to compensate one of the disadvantages; let’s take the bottle neck. it’s clear that one cannot shorten a url and expect the link to be independent or maybe distributed like DNS at the same time.

still there are 3 problems which have to be solved:

spamming: there are concepts which we know from mail services that can narrow this issue down. is.gd uses the surbl blacklisting service to check for spams. with a little fine tuning this is manageable.

loops: similar to the spamming problem, there must be a blocklist of sites that are not accepted for shortening. qr.cx already implements a list of about 200 services that are blocked from shortening. is.gd is saying so too, although they accepted qr.cx links and others at the time of writing. this is really easy to implement and should be done by every shortening service.

transparency: the problem here is that users cannot see where they are going when clicking a shortlink. the solution is again very easy to implement. tinyurl implements it by putting ‘preview’ as subdomain http://preview.tinyurl.com/m5l96j and qr.cx by putting ‘/get’ behind the shortlink: http://qr.cx/1r8/get.

curious as i am i decided Continue reading “loops and stretching with urlshorteners…”

Flattr this!

Führerschwein…

skfs_vornesoeben habe ich meinen neuen führerschein erhalten. da ich die klasse C innehabe muss dieser alle 5 jahre mit ärztlichem attest verlängert werden. den neuen scheckkarten führerschein gibt es ja schon länger und ich habe auch schon darüber geschrieben.

da mich die diversen sicherheitsmerkmale intessierten, warf ich einen näheren blick auf meine neue karte.

anscheinend hat mein führerschein einen kleinen schönheitsfehler im sicherheitsmerkmal hologram (siehe bild nummer 4).

hier ist neben des adlers kopf links und rechts ein winziger schriftzug zu erkennen, auf dem “FÜHRERSCHEIN ÖSTERREICH” stehen sollte. stattdessen steht links “FÜHRERSCHIEN ÖSTERREICH”. ich wusste nicht dass der vorarlberger dialekt auf der österreichischen version des führerscheins verewigt wird. aber eigentlich gibts für diesen tippfehler nur 3 erklärungen:

  • die mitarbeiter des bmvit tippen jeden schriftzug per hand
  • die qualitätskontrolle hatte urlaub oder
  • sie haben das absichtlich falsch getippt um fälschungen (bei denen das dann richtig getippt wäre) leichter erkennen zu können.

fuehrerschien01

wie auch immer, ich finde diesen kleinen makel recht lustig. vielleicht ist ja mein führerschein nicht der einzige der hier mit einem etwas merkwürdigem hologram versehen wurde. vielleicht werden jetzt sogar abertausende führerscheine zurückgerufen 😉 , oder es handelt sich einfach nur um eine etwas schlampig gearbeitete charge hologramme die einfach führerschein nummer XXX bis führerschein nummer XXY etwas spezieller erscheinen lässt.

EDIT 21.04.2009 15:45:
beim führerschein eines freundes ist der fehler auch vorhanden. er hat ihn ende september 2008 ausgestellt bekommen. das heisst es ist anzunehmen dass führerscheine seit mindestens einem halben jahr mit diesem fehler produziert werden.

Flattr this!

grundlos paranoid???

irgendwie hat die regierung vor das zur absegnung stehende sicherheitsgesetz um das entsprechende bisschen aufzupeppen.

wie orf.at brichtet, soll die ip adresse eines internetnutzers der polizei auf verdacht ausgehaendigt werden, ohne dass ein richterlicher beschluss noetig ist.

jetzt stellt sich mir die frage ab wann man verdaechtig ist. was muss man tun oder lassen um bei den online behoerden als verdaechtig eingestuft zu werden?

<sarkasmus an>
aber ich bin mir sicher dass das bedacht und wohl ueberlegt ist und ebenso eingesetzt wird
</sarkasmus aus>

aber auch um solche dinge gibt es wege herum. ich weiss nicht was sich die regierung davon verspricht. wer weiss was er verbergen will kann das auch tun. mich stoert nur dass solch sinnlose aktionen die privatsphaere des otto normalverbrauchers verletzen. was geht die oeffentlichkeit mein online leben an? wieso muss der herr pl*tter wissen wie oft ich was auf amazon oder ebay kaufe, im online poker geld verdiene oder einen heissen chat fuehre?
sowas ist einfach nicht zielfuehrend. da im kampf gegen den terrorismus (dahinter steht dann einfach nur”ich will mehr kontrolle”) der zweck die mittel heiligt ist nicht in ordnung. schliesslich kommt man mit auge um auge nicht weiter…

Flattr this!