Artikel mit Tag verschlüsselung

ZenMate - Sicheres VPN Addon für Firefox verfügbar

Vor über einem Jahr starteten die Berliner ZenGuard mit einem Chrome Plugin für sichere und verschlüsselte Verbindungen durch.

Gerade in Zeiten nach Snowden sind die Tools des Berliner Sicherheits Startups beliebter denn je. Laut netzwertig steht der Zähler momentan kurz vor 5 Millionen Nutzern.

ZenMate Mobile - Mobiler Schutz für Android und iOS

Bereits vor einem Monat hat sich ZenMate auf Android und iOS Systeme ausgebreitet (Download). Anders als beim Browser Plugin wurde hier auf ein Freemium Modell gesetzt. So sind monatlich 500MB für eine sichere Datenverbindung inklusive, alles was darüber hinaus geht, muss mit einem kleinen Obolus erkauft werden.

ZenMate-Firefox

ZenMate Firefox - VPN Verschlüsselung für den Feuerfuchs

Vor wenigen Tagen wurde eine weitere Lücke im ZenMate Universum geschlossen. Das bekannte VPN Plugin steht nun für den Firefox zur Verfügung.

Die Funktion ist die gleiche wie beim Chrome Browser Plugin. Es kann umsonst zwischen verschiedenen Einwahlservern auf der Welt (Schweiz, Hong Kong, UK, USA, Deutschland) gewählt werden. Danach geht der gesammte Traffic über eine sichere Leitung und das gewählte Land. 

Download Firefox ZenMate VPN Addon

Nginx auf Ubuntu Server 14.04 - In 5min installieren und härten

Die schnelle Apache Server Alternative Nginx ist auf dem Vormarsch und hat jüngst den guten alten Apache Webserver als Referenzsystem bei den Top 1000 Webseiten weltweit überholt.

Mit ein Grund sich mit diesem System etwas näher auseinanderzusetzen.

Zunächst sollte das System jedoch installiert und im Optimalfall gehärtet werden, um von Anfang an einen sicheren und schnellen Webserver zu haben.

nginx

Nginx auf Ubuntu Server 14.04 installieren

Die Installation geht recht schnell von statten, um die aktuelle stabile Version zu erhalten muss zunächst das richtig Repository hinzugefügt werden

sudo add-apt-repository ppa:nginx/stable

sudo apt-get update

sudo apt-get install nginx

Da der Server nach der Installation automatisch startet, könnt ihr sofort danach unter http://localhost die Standardwebseite des Serversystems aufrufen

nginx-ssl

Nginx SSL aktivieren und härten

Damit der Server unter https://localhost aufgerufen werden kann, muss zunächst ein Zertifikat erstellt werden, um es danach in Nginx einzubinden. In diesem Fall wird das Zertifikat selbst signiert.

cd /etc/nginx/

sudo mkdir ssl

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/srv.key -out /etc/nginx/ssl/srv.crt

Nun kann mit der Konfiguration begonnen werden, diese ist unter /etc/nginx/sites-available/default zu finden.

Innerhalb der Konfig-Datei einfach nach unten scrollen und die Kommentarzeichen im HTTPS Bereich entfernen.

sudo nano /etc/nginx/sites-available/default

server {

        listen 443;

        server_name localhost;

        root html;

        index index.html index.htm;

        ssl on;

        ssl_certificate /etc/nginx/ssl/srv.crt;

        ssl_certificate_key /etc/nginx/ssl/srv.key;

        ssl_session_timeout 5m;

        ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        #ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

        #ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";

        ssl_prefer_server_ciphers on;

        ssl_session_cache  builtin:1000  shared:SSL:10m;0m;

        add_header Strict-Transport-Security "max-age=63072000; includeSubDomains"

        add_header X-Frame-Options DENY;

        location / {

                try_files $uri $uri/ =404;

        }

}

Wie oben zu sehen ist, habe ich für einen sicheren Serverbetrieb, die Bereiche ssl_protocols und ssl_ciphers angepasst.

Zusätzlich wurde HSTS mit dem Befehl add_header Strict-Transport-.... aktiviert.

Zum Schutz for Clickjacking ist die Variable add_header X-Frame-Options DENY gesetzt worden.

Auch wurde der zuvor erzeugte SSL Schlüssel mit dem richtigen Pfad eingebunden.

Abschließend wurde noch die Variable ssl_session_cache gesetzt.

Wer den Webserver weiter absichern möchte, der kann zusätzlich Variablen wie ssl_stapling on und ssl_stapling_verify on setzen, um OCSP zu aktivieren.

Nginx Konfiguration prüfen und neustarten 

Unabhängig sollte vor einem Neustart die Installation überprüft werden. Wurde alles korrekt konfiguriert, ist die Standardseite unter https://localhost erreichbar. 

sudo service nginx configtest

sudo service nginx restart

Post Truecrypt - Windows Bitlocker Verschlüsselung ohne TPM freischalten und verstärken

Nach dem etwas dubiosen Ende der Verschlüsselungssoftware Truecrypt, muss nicht gleich über eine Alternative nachgedacht werden. Das Tool wird zwar nicht mehr aktualisiert, große Sicherheitslücken sind der Öffentlichkeit dennoch bis jetzt nicht bekannt.

In Zukunft wichtiger ist jedoch die Unterstützung für GPT (GUID Partition Table). Der Nachfolger des MBR (Master Boot Records) wird zurzeit nur von wenigen Programmen unterstützt. Truecrypt befand sich ebenfalls nicht darunter. Das heißt, es bleiben nur Tools wie Bitlocker zur Verschlüsselung solcher Systeme übrig. 

Bitlocker 

Das Microsoft Verschlüsselungsprogramm Bitlocker ist in Windows 8 fest integriert und unterstützt Windows 7 Enterprise bzw. Ultimate.

In einer letzten Meldung wurde das Programm von den Truecrypt Entwicklern empfohlen, obwohl es keinen allzu guten Ruf genießt. Im Rückblick auf die NSA Enthüllungen und Microsoft ist das kaum verwunderlich.

Bitlocker-TPM

Bitlocker Verschlüsselung ohne TPM freischalten

Von Haus aus unterstützt und verlangt Bitlocker TPM (Trusted Platform Module), einen Sicherheitschip auf dem Mainboard, um die Festplatte zu verschlüsseln. Ist dieser Chip nicht vorhanden, muss Bitlocker ohne TPM freigeschaltet werden.

Dazu kann die weiter unten aufgeführte Reg Datei heruntergeladen oder die GPO Regel

  • Start --> Ausführen
  • gpedit.msc
  • Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke
    • BitLocker ohne kompatibles TPM zulassen aktivieren

freigeschaltet werden.

Danach ist es möglich das System ohne TPM zur verschlüsseln.

Wie bereits erwähnt kann auch einfach ein Registry Eintrag angepasst werden.

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]

"UseAdvancedStartup"=dword:00000001

"EnableBDEWithNoTPM"=dword:00000001

"UseTPM"=dword:00000002

"UseTPMPIN"=dword:00000002

"UseTPMKey"=dword:00000002

"UseTPMKeyPIN"=dword:00000002

"EncryptionMethodNoDiffuser"=dword:00000004

"EncryptionMethod"=dword:00000002

Um euch Arbeit zu ersparen, könnt ihr den fertigen Reg Schlüssel hier herunterladen. Danach entpacken und ausführen und TPM ist deaktiviert.

Bitlocker Verschlüsselungsmethode stärken

Festplattenverschluesselung-Bitlocker

In den Standardeinstellungen arbeitet Bitlocker mit einer 128Bit Verschlüsselung. Diese Methode kann ebenfalls über die Gruppenrichtlinien auf 256Bit verstärkt werden.

Hier kann ähnlich wie im ersten Schritt vorgegangen werden.

  • Start --> Ausführen
  • gpedit.msc
  • Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke
    • Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
    • Verschlüsselungsmethode auswählen
    • AES 256-Bit mit Diffusor

Für die stärkere Verschlüsselung habe ich euch ebenfalls einen Registryschlüssel erstellt.

Einfach herunterladen, entpacken, ausführen und schon seid ihr auf der sicheren Seite.

Download Reg Schluessel Bitlocker_Verschluesselung_AES_256-bit_mit_Diffuser

IT Forensik - Kali Linux 1.0.7 - USB Stick Verschlüsselung

Der Vollständigkeit halber will ich noch kurz erwähnen, dass in der letzten Woche die Version 1.0.7 der bekannten Hacker und Forensik CD Kali Linux veröffentlicht wurde. 

Neben der Aktualisierung des Kernels und diverser Programmpakete, unterstützt die Distribution nun auch die Verschlüsselung der Home Partition via LUKS (Linux Unified Key Setup).

Die Verschlüsselung wird erst dann wichtig, wenn der sogenannte persistente Modus aktiviert ist. In dieser Variante können auf einem USB Stick persönliche Einstellungen hinterlegt werden. Damit diese sicher sind, werden sie verschlüsselt.

Im äußersten Notfall kann der Stick auf mit Hilfe der Nuke Funktion komplett bereinigt werden.

Bootoptionen Kali Linux

  • Live (amd64)
  • Live (amd64 failsafe)
  • Live (forensic mode)
  • Live USB Persistence
  • Live USB Encrypted Persistence
  • Install
  • Graphic Install

Für den Hausgebrauch reicht ein USB Stick mit 8-16GB völlig aus. USB 3.0 ist "nice to have", aber nicht zwingend nötig.

Download Kali Linux

SSL-Verschlüsselung für Tumblr aktivieren

Nicht nur auf Androiden kann sicher gesurft werden, auch die Blogging Plattform Tumblr bietet nun sichere SSL-Verschlüsselung an. Leider ist die Funktion von Haus aus nicht aktiv, warum will ich hier lieber nicht hinterfragen.

Ihr müsst für mehr Sicherheit euer Profil aufrufen http://www.tumblr.com/settings/account und den Regler unter dem Punkt "Sicherheit" nach Rechts verschieben. Thats it.

Tumblr-ssl

Sicherheit hat leider immer noch seinen Preis, so scheint die Erweiterung XKit bisher Probleme mit SSL zu haben, an einer Lösung wird gearbeitet.