Category: security

calc.pw: Reimplementation Kick-Off

07.04.2022 yahe calcpw code hardware raspberry security

About a decade ago I presented a hardware-based password calculator called calc.pw which generates passwords based on a single strong password and a service-dependent information, thus allowing you to use individual passwords for each of your services without having to care for a password database. I even presented it at a few conferences.

In the meantime much better microcontrollers have become available and my understanding of cryptography and password generation have improved as well. That is why I have kicked-off the reimplementation of calc.pw! ­čśâ

Read more ┬╗


PineBook Pro: How to install Manjaro on a LUKS-encrypted NVMe SSD

06.08.2021 yahe administration linux security

Last year I got myself a PineBook Pro to have a look into ARM-based devices and ARM development in general. Thanks to the optional NVMe adapter board I was able to add an SSD to the device as well. One of the first things I always do after receiving new hardware is to fully re-install the operating system, because you should never trust a default installation. I used the manjaro-arm-installer as Manjaro currently seems to provide the best support for the Rockchip hardware.

Unfortunately, the installer did not provide the type of installation that I wanted to have.

Read more ┬╗


How to create simple encrypted remote backups

30.03.2021 yahe administration linux security

Every once in while I get asked if a certain backup scheme is a good idea and oftentimes the suggested backup solution is beyond what I would use myself. Duplicity, its simplification Duply or the not-so-dissimilar contenders Borg and Restic are among those solutions that are mentioned most often, with solutions like Bacula and its offspring Bareos coming much later.

Unfortunately, I would not trust any of these tools further than I could throw a harddrive containing a backup created with them.

Read more ┬╗


Cryptographic Vulnerabilities within the Nextcloud Server Side Encryption

16.11.2020 yahe publicity security

Nearly a year ago I wrote that I had an extensive look into the server side encryption that is provided by the Default Encryption Module of Nextcloud. I also mentioned that I have written some helpful tools and an elaborate description for people that have to work with its encryption.

What I did not write about at that time was that I had also discovered several cryptographic vulnerabilities.

Read more ┬╗


Shared-Secrets: Cryptography Reloaded

17.12.2019 yahe code linux security

About 3 years ago I wrote about a tool called Shared-Secrets that I had written. It had the purpose of sharing secrets through encrypted links which should only be retrievable once. Back then I made the decision to base the application on the GnuPG encryption but over the last couple of years I had to learn that this was not the best of all choices. Here are some of the problems that I have found in the meantime:

Read more ┬╗


Nextcloud-Tools: Working with the Nextcloud Server-Side Encryption

02.12.2019 yahe administration code security update

At the beginning of the year we ran into a strange problem with our server-side encrypted Nextcloud installation at work. Files got corrupted when they were moved between folders. We had found another problem with the Nextcloud Desktop client just recently and therefore thought that this was also related to synchronization problems within the Nextcloud Desktop client. Later in the year we bumped into this problem again, but this time it occured while using the web frontend of Nextcloud.

Read more ┬╗


Vermeiden. Erkennen. Beheben.

21.08.2017 yahe legacy security thoughts

Bereits seit einiger Zeit orientiere ich mich bei der Auswahl von Sicherheitsma├čnahmen an einer Einteilung, die ich bereits im Artikel ├╝ber die aktive Verteidigung gegen Kryptotrojaner einmal verwendet hatte: Vermeiden. Erkennen. Beheben.

Bisher war ich davon ausgegangen, dass es sich dabei um ein g├Ąngiges Modell handelt, schlie├člich wird es in vielen Bereichen eingesetzt, in denen es um Fehlervermeidung geht. Bezogen auf das Management der Informationssicherheit habe ich jedoch keine relevanten Quellen ausfindig machen k├Ânnen, die sich mit dieser Klassifizierung von Sicherheitsma├čnahmen besch├Ąftigt.

Read more ┬╗


Shared-Secrets: Geheimnisse ├╝ber verschl├╝sselte Links austauschen

28.09.2016 yahe code legacy linux security

Im Internet gibt es inzwischen eine gr├Â├čere Anzahl an Diensten, ├╝ber die es m├Âglich ist, Texte auszutauschen, der bekannteste davon d├╝rfte wohl Pastebin.com sein. Einige davon haben zudem begonnen, damit zu werben, dass man ├╝ber sie Geheimnisse austauschen kann, die wahlweise verschl├╝sselt auf dem Server abgelegt werden oder nur einen einzigen Abruf des Geheimnisses erm├Âglichen, beispielsweise OneTimeSecret.com.

Auf Arbeit haben wir vor kurzem nach einer M├Âglichkeit gesucht, Informationen m├Âglichst sicher an einen Empf├Ąnger zu ├╝bertragen, ohne, dass auf dessen Seite Software installiert werden oder eine spezifische Konfiguration vorgenommen werden muss. Dabei bot sich solch ein einfacher Webdienst regelrecht an. Allerdings sahen wir die vorhandenen L├Âsungen als eher kritisch an.

Read more ┬╗


CentOS 7 mit Two-Factor-Authentication absichern

11.08.2016 yahe administration legacy linux security

Nach meiner Migration zu CentOS 7 wollte ich Two-Factor-Authentication f├╝r SSH-Logins einrichten. Allerdings musste ich feststellen, dass es f├╝r CentOS 7 keine aktuellen Pakete des entsprechenden PAM (Pluggable Authentication Module) gibt. So musste ich wohl oder ├╝bel das ganze selbst kompilieren.

Read more ┬╗


Aktive Verteidigung gegen Krypto-Trojaner

29.02.2016 yahe code legacy security thoughts

Mit Locky sieht die IT-Welt derzeit einen der koordiniertesten Trojanerangriff der j├╝ngeren Zeit. W├Ąhrend er sich Anfangs als Schl├Ąfer getarnt haben soll, findet er inzwischen auf unterschiedlichsten Wegen sein Ziel: als Word- oder Excel-Dokument mit sch├Ądlichem Makro; als JavaScript-Datei, die sich z.B. als angebliches Sipgate-Fax tarnt; oder gar als altmodische und als ausgestorben geglaubte Batch-Datei. Bei den Opfern des Verschl├╝sselungstrojaners handelt es sich auch um gr├Â├čere Organisationen wie Krankenh├Ąuser und ein Fraunhofer-Institut. Man ging zeitweise von 5000 Neuinfektionen pro Stunde aus.

Die Vorschl├Ąge f├╝r Gegenma├čnahmen sehen derzeit noch eher mager aus.

Read more ┬╗


Search

Links

RSS feed

Categories

administration (44)
arduino (12)
calcpw (3)
code (38)
hardware (19)
java (2)
legacy (113)
linux (30)
publicity (7)
raspberry (3)
review (2)
security (64)
thoughts (22)
update (9)
windows (17)
wordpress (19)