Posts Tagged ‘Security’

11. Januar 2018

FancyMail Gewinnspiel 2018

Gewinne den FancyPreis, der noch nicht feststeht!*

Wem es gelingt, bis Ende 2018 eine verschlüsselte E-Mail, mit dem Stichwort: „FancyMail“, an uns zu senden nimmt automatisch an der großen Tombola Verlosung mit großartigen Preisen teil. Weitere Infos folgen. Einsendeschluss der digitalen Postämter ist der 31.12.2018 0:00 Uhr. Also: Tu Wat! Mach wat! Lern wat! Gewinn wat!

*Die Gewinner werden per sicherem Zufallsgenerator ermittelt
*Alle Angaben kommen wie immer ohne Gewähr.
*Der Rechtsweg ist garantiert ausgeschlossen.

FancyMail Tipps:

PublicKeys unter Kontakt

www.openpgp.org

www.gpgtools.org

Na, wer bekommts gebacken?

Hi

Fancy Software <j.tsigos@fancysoftware.de> (2A90925E)

Du kannst diesen Schlüssel verwenden, um unsere Nachrichten zu verschlüsseln.

Damit du sicher kommunizieren kannst, musst du eine OpenPGP Software auf deinem Computer installieren. Hier eine Liste möglicher Lösungen für dein System:

macOS https://gpgtools.tenderapp.com/kb/how-to/erste-schritte-gpgtools-einrichten-einen-schlssel-erstellen-deine-erste-verschlsselte-mail
Linux https://ssd.eff.org/en/module/how-use-pgp-linux
Windows https://ssd.eff.org/en/module/how-use-pgp-windows-pc
iOS https://itunes.apple.com/app/ipgmail/id430780873?mt=8
Android https://play.google.com/store/apps/details?id=org.sufficientlysecure.keychain

Bitte importiere den öffentlichen Schlüssel in deine lokale OpenPGP Schlüsselverwaltung.
Ich freue mich auf abhörsichere Kommunikation mit dir.
Viele Grüße




03. Januar 2018

34C3 Kongress Empfehlungen „tuwat“

TUWAT

Auch gegen Ende des letzten Jahres fand wieder der alljährliche deutsche #CCC Hacker-Kongress, diesmal der #34c3 in Leipzig statt. Leider war es mir dieses Jahr nicht möglich live daran teilzunehmen. Aber zum Glück gibt es ja dieses Internet wo alle Talks in Streams zu finden sind. 🙂 Unter dem Motto „tuwat“ sind nun alle IT Nerds, Admins und Programmierer aufgefordert, selber aktiv zu werden und gegen Missstände dieser Welt im Internet vorzugehen.

Hier eine kleine Empfehlungs-Liste guter Vorträge:

Update: Diese Liste wir nochmals aktualisiert, wenn ich noch mehr Vorträge gesehen habe.

Alle Talks auf YouTube:

www.youtube.com

Alle Talks auf ccc.media.de:

media.ccc.de/c/34c3

Die Lightning Talks brauchen keine gesonderte Empfehlung! Sind immer gut.

 

Link zum Post vom 33c3 2016




04. Januar 2017

33c3 IT-Sicherheitskonferenz

33c3 – Wir sind zurück und waren dabei! Nachfolgend einige Impressionen vom 33c3, der 33. IT-Sicherheitskonferenz des Chaos Computer Club in Hamburg.

Vortrags Empfehlungen

33c3 LogoHier ein kleine Liste sehr guter Vorträge vom Kongress. Alle Video können unter https://media.ccc.de/c/33c3 angeschaut und kostenlos heruntergeladen werden.

33C3 Opening Ceremony

https://media.ccc.de/v/33c3-8429-33c3_opening_ceremony

Routerzwang und Funkabschottung
https://media.ccc.de/v/33c3-8024-routerzwang_und_funkabschottung

Interplanetary Colonization

https://media.ccc.de/v/33c3-7942-interplanetary_colonization

Check Your Police Record!
https://media.ccc.de/v/33c3-7939-check_your_police_record

Machine Dreams

https://media.ccc.de/v/33c3-8369-machine_dreams

SpiegelMining – Reverse Engineering von Spiegel-Online

https://media.ccc.de/v/33c3-7912-spiegelmining_reverse_engineering_von_spiegel-online

The Moon and European Space Exploration

https://media.ccc.de/v/33c3-8406-the_moon_and_european_space_exploration

Security Nightmares 0x11

https://media.ccc.de/v/33c3-8413-security_nightmares_0x11

Methodisch inkorrekt!

https://media.ccc.de/v/33c3-8020-methodisch_inkorrekt

Eine kleine Geschichte der Parlamentsschlägerei

https://media.ccc.de/v/33c3-8021-eine_kleine_geschichte_der_parlamentsschlagerei

Build your own NSA

https://media.ccc.de/v/33c3-8034-build_your_own_nsa

33C3 Closing Ceremony

https://media.ccc.de/v/33c3-8428-33c3_closing_ceremony

Und natürlich alle Lightning Talks (Day 1-4). Mehr Infos mehr Spaß!

 

Bildergalerie

Hoverboard Karawane

Seidenstraßen Router

3D Printing Assembly

3D Drucker

DJ Vorführung

Dieses System ist sicher!

Kinect Video Sandbox

Hacking Space

Die Bahn vom CCCamp

Bottle Drop Point

Seidenstraße

KidsSpace

Seidenstraße

Projektion auf das naheliegende Radisson Blue

CCH Haupteingang

Cyperpeace

Chill out Lounge

Projektion auf Decke und Wand

*o *rong …

Rocket to the moon

be excellent to eachother

TouchID etc.

LED Stribes construction

LED Flaschen

LED Decke

Mate Screen mit Laufschrift

Harryplotter druckt Tweets

Raumschiff

Projektion

LED Space Tunnel

LED Space Tunnel

LED Space Tunnel

Stromversorgung

3/9 Tischen – Fair Lötet?

Hardware Hacking Area

HackCenter

ProjectSpace

LED Games everywhere




20. Oktober 2016

How-To – Let’s Encrypt und Tomcat

Wie installiert man Let’s Encrypt in Verbindung mit Tomcat? Let's Encrypt und TomcatWir haben vor kurzem unser Projekt LokaleWare aus Performance- und Erweiterungsgründen auf einen neuen Server migriert. Nun wollten wir auch dort, dass LokaleWare mittels HTTPs gesichert ist. Deshalb wollten wir auch dort Let’s Encrypt einsetzen um die Zertifikate zu generieren. Das Problem ist, dass wir keine gute Anleitung bezüglich der Kombination mit Tomcat gefunden haben und so viele Forenbeiträge durchsuchen mussten. Deshalb werden wir hier unsere Lösung beschreiben. We call it; Let’s Encat 😀

Voraussetzungen

Umgesetzt haben wir das Projekt mit folgenden Versionen:
letsencrypt 0.4.1
tomcat 7

Umsetzung Let’s Encrypt und Tomcat

Das Programm letsencrypt kann je nach Installation auch certbot oder letsencrypt-auto heißen.

Im Vergleich zum Apache gibt es bei der Zertifikatserstellung mit Tomcat zwei Probleme. Das erste Problem ist, dass der Beweis, dass diese Domain zu dem Server gehört über Port 80 und dem richtigen Pfad bereitgestellt werden muss. Wir wollten unsere Projekte von externen Scripten unberührt lassen, weshalb wir die Beweis-Datei nicht mittels Tomcat auslieferen. Deshalb kommen wir nun zu der von uns gewählten Lösung. Wir lassen für kurze Zeit einen anderen HTTP Server die Datei bereitstellen. Dazu beenden wir Tomcat, damit Port 80 frei wird und starten den neuen Server.

Das nächste Problem war die Umwandlung des Zertifikates und die Speicherung in den Java-Keystore (JKS). Zur Umwandlung verwenden wir OpenSSL um anschließend das neue Format des Zertifikates im JKS zu speichern.

Zum Schluss muss nur noch der Tomcat wieder gestartet werden.

Hier unser Shell-Script:
#!/bin/bash
# preparation
certdir=/etc/letsencrypt/live/lokaleware.de
keytooldir=/opt/java/default/jre/bin/
mydomain=lokaleware.de
myemail=info@lokaleware.de
keystoredir=/opt/tomcat7/lw.jks

#the script itself:
service tomcat7 stop

letsencrypt certonly --standalone -d www.$mydomain -d $mydomain --standalone-supported-challenges http-01 --http-01-port 80 --renew-by-default --email $myemail --agree-tos

$keytooldir/keytool -delete -alias root -storepass changeit -keystore $keystoredir
$keytooldir/keytool -delete -alias tomcat -storepass changeit -keystore $keystoredir

openssl pkcs12 -export -in $certdir/fullchain.pem -inkey $certdir/privkey.pem -out $certdir/cert_and_key.p12 -name tomcat -CAfile $certdir/chain.pem -caname root -password pass:aaa

$keytooldir/keytool -importkeystore -srcstorepass aaa -deststorepass changeit -destkeypass changeit -srckeystore $certdir/cert_and_key.p12 -srcstoretype PKCS12 -alias tomcat -keystore $keystoredir
$keytooldir/keytool -import -trustcacerts -alias root -deststorepass changeit -file $certdir/chain.pem -noprompt -keystore $keystoredir

# restart your tomcat server
service tomcat7 start

Weitere Konfigurationen

Zum Schluss erstellt Ihr noch einen Cron-Job und lasst kurz vor Ablauf der 3 Monate das Zertifikat erneuern.

In der Datei „server.xml“ müsst Ihr noch die Keystore-Datei auslesen, indem Ihr z.b. folgendes Connector-Tag verwendet:

<Connector
port="443"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
SSLEnabled="true"
maxThreads="150"
minSpareThreads="25"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
keystoreFile="/opt/tomcat7/lw.jks"
keystorePass="changeit"
clientAuth="false"
sslProtocol="TLS"
useBodyEncodingForURI="true" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_SHA256, TLS_ECDHE_RSA_WITH_AES_128_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_SHA, TLS_ECDHE_RSA_WITH_AES_256_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_SHA384, TLS_ECDHE_RSA_WITH_AES_256_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_SHA, TLS_DHE_RSA_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_128_SHA, TLS_DHE_DSS_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_256_SHA256, TLS_DHE_DSS_WITH_AES_256_SHA, TLS_DHE_RSA_WITH_AES_256_SHA" />

Hinweis

Die Passwörter sind natürlich geändert und solltet Ihr das Script verwenden, solltet Ihr es auch ändern. Mehr Information über Let’s Encrypt hatten wir auch schonmal in einem alten Blogpost erwähnt.
Viel Erfolg beim Ausprobieren.




28. September 2016

FancySoftware im Dezember 2016 auf dem 33rd Chaos Communication Congress

y4qhq3k2ih3d6audotic5ptha

Yay, dieses Jahr ist FancySoftware vom 27.12.2016 bis zum 30.12.2016 auf dem 33rd Chaos Communication Congress in Hamburg. Auf der europaweit größten Sicherheits-Konferenz (Hacker-Messe) werden wir uns für Euch über die Neusten Erkenntnisse der Sicherheitstechnik im IT Bereich informieren und wieder berichten.

Auf dem Bild zu sehen: Besucher des Kongresses des Chaos Computer Clubs (CCC) betreten am 27.12.2015 in Hamburg das Kongresszentrum CCH. Zu dem Treffen der Hackerszene werden 14000 Teilnehmer erwartet. Themen sind Internet-Sicherheit, staatliche Überwachung und kreative IT-Lösungen.

Besucher des Kongresses des Chaos Computer Clubs (CCC) betreten am 27.12.2015 in Hamburg das Kongresszentrum CCH. Zu dem Treffen der Hackerszene werden 12000 Teilnehmer erwartet. Themen sind Internet-Sicherheit, staatliche Überwachung und kreative IT-Lösungen. Foto: Axel Heimken/dpa (zu dpa «Größtes Hackertreffen Europas in Hamburg gestartet» vom 27.12.2015) +++(c) dpa - Bildfunk+++

Wir werden wieder interessante Vorträge raussuchen und unsere Auswahl hier bereitstellen.

Tickets

Ein großes Danke, an das Maschinendeck Trier, für die Bereitstellung des Voucher-Codes. Mit diesem Code war es uns bereits möglich, einige Tickets, vor dem offiziellen Verkaufsstart (ab 31.09.16) zu sichern.

bildschirmfoto-2016-09-21-um-17-53-26