Wegen Streik in HAJ (EDDV, Hannover) sehr ruhig, dann mal einen neuen Webtunnel (Bridges) für Tor einstellen und was sind Brücken-Mojis?

Ein Webtunnel (Bridges) ist dem normalen Webverkehr so ähnlich, dass er mit einer Webseite am gleichen Netzwerkendpunkt, also mit der gleichen Domäne, IP-Adresse und dem gleichen Port, koexistieren kann. Eine solche Konfiguration führe dazu, dass ein Beobachter die Webseite unter der gemeinsamen Adresse besuchen könne, ohne die Existenz der geheimen Webtunnel-Bridge zu bemerken.

Die Verwendung von Brücken in Kombination mit austauschbaren Übertragungsarten hilft die Tatsache zu verbergen, dass du Tor verwendest, kann aber die Verbindung im Vergleich zur Verwendung von normalen Tor-Relays verlangsamen.

Das geht ganz einfach, da die Brückenadressen nicht öffentlich sind: „Wegen Streik in HAJ (EDDV, Hannover) sehr ruhig, dann mal einen neuen Webtunnel (Bridges) für Tor einstellen und was sind Brücken-Mojis?“ weiterlesen

PSPP (Teil 9) Zufallsstichprobe

Stichproben in der Statistik sind ein wesentliches Werkzeug, um Informationen über eine größere Population zu gewinnen, indem man nur einen Teil dieser Population untersucht.

Eine Zufallsstichprobe ist eine Auswahl von Elementen aus einer Gesamtpopulation, bei der jedes Element in der Population eine gleichberechtigte Chance hat, in die Stichprobe aufgenommen zu werden. Das bedeutet, dass jedes Element unabhängig und zufällig ausgewählt wird, ohne dass bestimmte Merkmale oder Eigenschaften bevorzugt werden.

Zufallsstichprobe können auch mit PSPP gezogen werden. Hier ist eine Anleitung dazu: „PSPP (Teil 9) Zufallsstichprobe“ weiterlesen

Tor Browser 12.5.6 und anzeige der drei Relais

Vor ein paar Tagen gab es ein Update auf eine neue Version.

Welche Onion Circuits werden verwendet? Infos zeigt der Toolbar-Button zu den aktuellen Kanälen und Verbindungen von Tor an. Das kann über diesen Button angezeigt werden:

Ein Kanal in Tor besteht aus drei Relais:

-Der erste relay oder entry guard.
-Dem zweiten Relais oder Mittelknoten.
-Dem Ausgangsrelais.

Was wurde gefixt? „Tor Browser 12.5.6 und anzeige der drei Relais“ weiterlesen

RSA Checkliste für SSL-Zerfikate erstellen mit XCA für Portainer

ECC wird oft als zukunftssicherer angesehen, da es auf mathematischen Konzepten basiert, die voraussichtlich auch bei Fortschritten in der Kryptanalyse sicher bleiben. RSA hingegen könnte anfälliger für Angriffe werden, wenn leistungsfähigere Computer und Algorithmen entwickelt werden. ECC wird aufgrund seiner Effizienz und Sicherheitseigenschaften RSA in vielen modernen Anwendungen ersetzen. ECC läuft aber halt noch nicht überall. Portainer kann leider noch keine ECC (secp256k1), deshalb in diesen Beitrag einer Zertifikatserzeugung mit RSA Key und XCA.

Es sind diese 9 Schritte nötig. Unten gibt es die Checkliste zum kostenlosen Download.

1. XCA installieren (https://hohnstaedt.de/xca/index.php)

2. XCA starten (XCA-Menü: Zubehör-XCA, http://blog.wenzlaff.de/?p=20761) „RSA Checkliste für SSL-Zerfikate erstellen mit XCA für Portainer“ weiterlesen

XCA – Certification Authority (Zertifizierungsstelle) mit Elliptische-Kurven-Kryptografie (ECC) secp256k1

In der Informationssicherheit und Verschlüsselung steht „CA“ für Certification Authority. Eine Zertifizierungsstelle ist eine vertrauenswürdige Organisation, die digitale Zertifikate ausstellt und verwaltet. Diese Zertifikate werden verwendet, um die Identität von Websites, Servern und Benutzern in verschlüsselten Kommunikationen zu überprüfen, z. B. bei der SSL/TLS-Verschlüsselung im Web. Hier ein Bild der XCA GUI unter Linux:

Gestern wurde eine neue Version 2.5.0 der XCA veröffentlicht. Dafür gibt es auf dem Raspberry Pi 4 noch kein Package.

Aber man kann es ja auch selbst compilieren und zwar so für den aktuellen dev 2.5.3 Stand:

„XCA – Certification Authority (Zertifizierungsstelle) mit Elliptische-Kurven-Kryptografie (ECC) secp256k1“ weiterlesen

SSL/TLS-Zertifikat mit Elliptische-Kurven-Kryptografie (ECC) secp256k1 und eigener CA erzeugen und per Java einlesen auf dem Raspberry Pi

In der heutigen digitalen Welt ist die Sicherheit von Daten und Kommunikation von höchster Bedeutung. SSL/TLS-Zertifikate spielen eine entscheidende Rolle bei der Verschlüsselung von Datenübertragungen im Internet und der Gewährleistung der Vertraulichkeit und Integrität von Informationen. Das Open-Source-Programm xca ist eine leistungsstarke und vielseitige Anwendung, die die Verwaltung von SSL/TLS-Zertifikaten und vieles mehr erleichtert.

Es kann einfach per sudo apt install xca installiert werden und steht dann im Zubehör-Menü zur Verfügung:

„SSL/TLS-Zertifikat mit Elliptische-Kurven-Kryptografie (ECC) secp256k1 und eigener CA erzeugen und per Java einlesen auf dem Raspberry Pi“ weiterlesen

OpenSSL 3.1.2 auf dem Raspberry Pi

Die OpenSSL Version 1.1.1 Serie ist nur bis 11. Sep. 2023 supportet und sollte nicht mehr verwendet werden. Wir können uns aber auch selbst die 3.1.2 Version auf dem pi compilieren, solage es noch kein deb Archive gib.

OpenSSL ist eine weit verbreitete Open-Source-Sicherheitsbibliothek, die in vielen Bereichen der Informationstechnologie eine entscheidende Rolle spielt. Diese vielseitige Software wurde entwickelt, um Verschlüsselung, Authentifizierung und Sicherheitsfunktionen für eine breite Palette von Anwendungen bereitzustellen. In diesem Artikel werden wir einen zeigen wie die neue Version installiert bzw. compiliert werden kann, und zwar auf einem Raspberry Pi Zero: „OpenSSL 3.1.2 auf dem Raspberry Pi“ weiterlesen

Die wichtigsten Unterschiede zwischen Trust Stores und Key Stores für Java und HTTPS

Die wichtigsten Unterschiede zwischen Trust Stores und Key Stores für Java und HTTPS.

Der Key Store speichert private Schlüssel und zugehörige Zertifikate zur Identifizierung und Authentifizierung.
Der Trust Store speichert Zertifikate von vertrauenswürdigen Zertifizierungsstellen zur Überprüfung der Glaubwürdigkeit von Remote-Entitäten.

Beide Speicher sind wichtig, um eine sichere Kommunikation über HTTPS und andere verschlüsselte Protokolle zu gewährleisten. Der Key Store ermöglicht die Identifizierung und Authentifizierung, während der Trust Store das Vertrauen in die Gegenstelle sicherstellt. Hier die Unterschiede als Mindmap und als Tabelle:

„Die wichtigsten Unterschiede zwischen Trust Stores und Key Stores für Java und HTTPS“ weiterlesen

MAT2 (Metadata Anonymisation Toolkit 2) auch auf dem Raspberry Pi Zero geht Anonymisierung von Metadaten

MAT2, oh so fine,
Anonymizing metadata, a task of mine.
Protecting privacy, keeping data secure,
In the digital world, that’s for sure.

Open source power, freely shared,
A toolkit with features, so well-prepared.
Removing traces, hiding the signs,
MAT2 ensures privacy, line by line.

Metadata analysis, a thorough view,
Understanding what’s there, it will do.
Batch processing, efficient and fast,
Anonymizing files, a breeze to cast.

Command line or GUI, take your pick,
MAT2’s flexibility does the trick.
Research, storage, sharing too,
In digital forensics, it shines through.

So let MAT2 be your trusted mate,
Anonymizing metadata, sealing fate.
In a world of connectivity and information flow,
MAT2 keeps your privacy aglow.

-Thomas Wenzlaff

In der heutigen vernetzten Welt sind Metadaten zu einem wertvollen Gut geworden. Metadaten enthalten Informationen über andere Daten, wie beispielsweise den Ersteller, das Erstellungsdatum, den Standort und vieles mehr. Sie spielen eine wichtige Rolle in Bereichen wie der Datenspeicherung, dem Datenschutz und der Informationssicherheit. Angesichts der wachsenden Bedenken hinsichtlich des Schutzes personenbezogener Daten und der Privatsphäre ist es unerlässlich, geeignete Maßnahmen zu ergreifen, um die Anonymität von Metadaten zu gewährleisten. Hier kommt das MAT2 (Metadata Anonymisation Toolkit 2) ins Spiel, „MAT2 (Metadata Anonymisation Toolkit 2) auch auf dem Raspberry Pi Zero geht Anonymisierung von Metadaten“ weiterlesen

Software Bill of Materials (SBOM) mit CycloneDX Maven Plugin leicht erzeugen

In einer zunehmend vernetzten und digitalisierten Welt sind Softwarekomponenten und -anwendungen allgegenwärtig. Unternehmen verlassen sich auf komplexe Softwarelösungen, um ihre Geschäftsprozesse zu unterstützen und innovative Produkte und Dienstleistungen anzubieten. Angesichts der wachsenden Bedrohungen durch Sicherheitslücken und Compliance-Anforderungen wird die Transparenz über die verwendeten Softwarekomponenten immer wichtiger. Hier kommt die Software Bill of Materials (SBOM) ins Spiel, die eine detaillierte und strukturierte Auflistung aller Softwarekomponenten eines Projekts bietet. Vor einem Jahr hatte ich schon mal davon berichtet. In diesem Artikel werden die Vorteile einer SBOM genauer betrachtet.

Transparenz über Softwarekomponenten:
Eine SBOM ermöglicht eine umfassende Transparenz über die verwendeten Softwarekomponenten in einem Projekt. Sie listet alle Komponenten auf, einschließlich Open-Source-Software, Drittanbieterbibliotheken und proprietäre Codebasis. Dies schafft Klarheit über den Ursprung und die Lizenzierung der Software, was für die Einhaltung von Compliance-Anforderungen und die Vermeidung von rechtlichen Problemen von entscheidender Bedeutung ist.
„Software Bill of Materials (SBOM) mit CycloneDX Maven Plugin leicht erzeugen“ weiterlesen

Es gibt übrigens ein Tor-Browser update

Der Tor Browser ist ein kostenloser, Open-Source-Webbrowser, der für ein Höchstmaß an Anonymität und Privatsphäre beim Surfen im Internet entwickelt wurde. Der Name „Tor“ steht für „The Onion Router“, da der Browser auf einer Technologie namens Onion Routing basiert, die den Datenverkehr über ein Netzwerk von Servern leitet, um die Identität und den Standort des Nutzers zu verschleiern.

Der Tor Browser ist für eine Vielzahl von Plattformen verfügbar, einschließlich Windows, macOS, Linux und Android. Er kann einfach heruntergeladen und installiert werden, ohne dass spezielle Konfiguration oder technisches Fachwissen erforderlich ist.

Durch die Verwendung des Tor-Netzwerks ist der Browser in der Lage, den Datenverkehr des Nutzers zu verschlüsseln und durch mehrere Knotenpunkte zu leiten, bevor er die gewünschte Website erreicht. Dadurch wird es äußerst schwierig für Dritte, die tatsächliche Identität oder den Standort des Nutzers zu ermitteln.

Neben der Anonymität bietet der Tor Browser auch Funktionen wie das Blockieren von Tracker-Cookies, das Verhindern von Fingerprinting-Techniken und das automatische Löschen von Daten beim Beenden des Browsers.

Es ist wichtig zu beachten, dass der Tor Browser keine absolute Anonymität bietet und dass einige Websites möglicherweise bestimmte Aktivitäten blockieren oder einschränken, wenn sie den Datenverkehr von Tor-Knotenpunkten erkennen. Darüber hinaus kann die Verwendung von Tor auch die Geschwindigkeit des Browsing-Erlebnisses beeinträchtigen.

Insgesamt ist der Tor Browser eine wichtige Option für Nutzer, die ihre Privatsphäre schützen und ihre Anonymität im Internet wahren möchten. Es ist jedoch auch wichtig, sich der Grenzen und Einschränkungen bewusst zu sein und geeignete Vorsichtsmaßnahmen zu treffen, um sicherzustellen, dass die gewünschten Ergebnisse erzielt werden.

REST-Service absichern mit Helmet in 5 Minuten und 2 Zeilen Code

In diesem Beitrag, hatte ich gezeigt, wie man in 5 Min. einen REST-Service erstellen kann. Wer noch 5 Minuten über hat, kann den Service auch sicherer machen mit Helmet.

Helmet ist ein Express.js-Modul, das es Entwicklern ermöglicht, sicherheitsrelevante HTTP-Header für ihre Anwendungen zu setzen. Es ist einfach zu installieren und zu verwenden und kann in 2 Zeilen Code integriert werden.

Helmet setzt eine Reihe von HTTP-Headern, die die Sicherheit Ihrer Webanwendung erhöhen können, indem sie gefährliche Verhaltensweisen von Browsern und anderen Clients verhindern. Einige Beispiele für die von Helmet gesetzten Header sind:

  • X-XSS-Protection: Schaltet den XSS-Schutz (Cross-Site Scripting) im Browser ein.
  • X-Frame-Options: Verhindert, dass die Anwendung in einem Frame oder einem iframe geladen wird, was eine Art von Angriff namens „Clickjacking“ verhindert.
  • X-Content-Type-Options: Verhindert, dass der Browser die MIME-Type einer Ressource automatisch erkennt, was eine Art von Angriff namens „MIME-Sniffing“ verhindert.
  • Content-Security-Policy: Legt Regeln fest, die festlegen, welche Ressourcen von einer Seite geladen werden dürfen und welche nicht, was dazu beiträgt, Cross-Site-Scripting-Angriffe zu verhindern.

Es gibt noch viele andere Header die helmet setzt, um die Sicherheit zu erhöhen.

Diese Schritte sind nötig, in dem Verzeichnis von dem Projekt:

1. installieren von helmet (github.io)

2. Helmet im Code aufrufen

Wenn der REST-Server gestartet wird ohne helmet, sieht der Header so aus:

und mit helmet, es sind die Header gesetzt: „REST-Service absichern mit Helmet in 5 Minuten und 2 Zeilen Code“ weiterlesen

Twitter auch per Tor über Onion-Routing-Netzwerk (Darknet) erreichbar

Twitter ist auch im Darknet über diese Adresse erreichbar:

Also bin auch ich und jeder Twitter User im Darknet erreichbar, hier mein Link

Der Anonymisierungsdienst Tor ist weltweit und unabhängig von Internetblockaden erreichbar. Dann mal gleich den Tor-Browser updaten:
„Twitter auch per Tor über Onion-Routing-Netzwerk (Darknet) erreichbar“ weiterlesen

Hakrawler ein schneller golang Web-Crawler auf dem Pi im Docker

Wer einen Web-Crawler auf dem Pi laufen lassen will, kann sich mal den in Go geschiebenen hakrawler anschauen.

Blutzelle

Nach der Installation lassen wir das Programm im Docker (nur gegen eigene Server!) laufen, z.B. mit der Domäne http://kleinhirn.eu/

echo http://kleinhirn.eu | docker run –rm -i hakluke/hakrawler -subs -u

Hier ein Ausschnitt aus dem Dump:

„Hakrawler ein schneller golang Web-Crawler auf dem Pi im Docker“ weiterlesen

Einfaches generieren von Software Bill of Materials (SBOM) mit Maven CycloneDX Plugin

SBOM (Software Bill of Materials) ist eine Inventar Liste einer Codebasis (hier im Beispiel Java), einschließlich aller identifizierbaren Komponenten samt ihrer Lizenz- und Versionsinformationen sowie Angaben zu eventuell vorhandenen Sicherheitslücken.
SBOM soll helfen, den Softwarecode samt bekannter Bugs und lizenzrechtlicher Fallstricke in der Codebasis zu inventarisieren, um so Risiken auszumerzen.

Diese SBOM Listen im Json oder XML Format können leicht mit dem Maven Plugin CycloneDX erzeugt werden.

Das Plugin kann in der pom.xml an die Package-Phase wie folgt mit den default Werten angekoppelt werden:

Hier die erzeugten Beispiel SBOM für das TWBibel Projekt im XML Format (entfernt).

Und im JSON Format:

„Einfaches generieren von Software Bill of Materials (SBOM) mit Maven CycloneDX Plugin“ weiterlesen

Penetrationstest: Sniffer tshark auf dem Raspberry nutzen

Hatte noch einen Raspberry Pi rumliegen, der Headless mit Raspian 11 bullseye bespielt wurde. Hier ein screenfetch:

Auf den wollen wir nun packet analyzer oder packet sniffer installieren (man braucht dazu kein Kali 😉 ). Hatte in der Vergangenheit schön öfters davon berichtet (1, 2, 3). Tshark ist das Kommandozeilen API für Wireshark. „Penetrationstest: Sniffer tshark auf dem Raspberry nutzen“ weiterlesen

Impfzertifikat validierung mit dem Raspberry Pi und Python und das zu „Don’t Shut Me Down“


Seit dem 10. Juni 2021 werden Impf-Zertifikate (sogenannte Impfbescheinigungen) in Deutschland in Impfzentren ausgegeben. Den QR-Code kann man auch mit einem Raspberry Pi validieren (von lateinisch validus „kräftig, wirksam, fest“) und den Inhalt des QR-Codes im Klartext ausgeben. Am Beispiel eines Raspberry Pi Zero W sind folgende 6 Schritte nötig.

1. Wir brauchen das Impfzertifikat, also den QR-Code als PNG oder JPG-Bild in einer Datei z.B. max-mustermann.png.
Wie z.B.:
qr-code impfzertifikat
Aber nur den QR-Code, nicht die ganze Seite des Impfzertifikats. … „Impfzertifikat validierung mit dem Raspberry Pi und Python und das zu „Don’t Shut Me Down““ weiterlesen

Twitter Intelligence Tool (TWINT) mit Web-Scraping-Technologie auf dem Raspberry Pi Zero nicht Pi Zero 2 W mit ARM-SoC Broadcom BCM2837 vier ARM Cortex-A53 und 64-Bit-taugliche ARMv8-Kerne

Das Twitter Intelligence Tool (TWINT) mit Web-Scraping-Technologie kann auch auf einem Raspberry Pi installiert werden.


Mit dem Web Scraper für Twitter, mit dem man Tweets von Usern des Kurznachrichtendienstes einholen kann, ohne dabei vom Twitter API eingeschränkt zu werden läuft unter der MIT-Lizenz (Anleitung Twitter-Intelligence-Tool.pdf). TWINT wurde in Python geschrieben, ist am April 2020 in Version 2.1.20 erschienen. Alle Funktionen gehen aber nicht mehr, weil sich die Twitter API geändert hat. Z.b. wirft ein twint -u programmierung –following diesen Fehler:

CRITICAL:root:twint.feed:Follow:IndexError

Aber einiges geht doch noch. Also mal installieren mit:

pip3 install twint

wenn dann nicht alles geht, hat bei mir geholfen:

So ein erster Test, alle Befehle ausgeben mit twint -h …: „Twitter Intelligence Tool (TWINT) mit Web-Scraping-Technologie auf dem Raspberry Pi Zero nicht Pi Zero 2 W mit ARM-SoC Broadcom BCM2837 vier ARM Cortex-A53 und 64-Bit-taugliche ARMv8-Kerne“ weiterlesen

ua-parser-js updates garantieren keine Sicherheit und installiert Krypto-Miner auch auf Raspberry Pi? – allow a remote attacker to obtain sensitive information or take control of the system.

Massive Sicherheitslücke in UAParser. Selbst das CIA gibt eine Warnung heraus.
Mal in allen Verzeichnisen auf meinem Raspberry Pi gesucht mit:

Ergebnis: „ua-parser-js updates garantieren keine Sicherheit und installiert Krypto-Miner auch auf Raspberry Pi? – allow a remote attacker to obtain sensitive information or take control of the system.“ weiterlesen

ETH-Kontostand via Web3j und Infura mit Java in 5 Schritten abfragen

Am 11. November letzten Jahres fürte der Ausfall von Infura dazu, dass viele zentrale Börsen die Abhebung von ETH und ERC20-Token gestoppt hatten. Zudem ließen sich Metamask, Uniswap und auch andere Anwendungen auf Ethereum nicht mehr nutzen. Infura scheint ein beliebter Dienstleister für Ethereum Nodes zu sein, auf den sich nicht nur kleinere Unternehmen und Projekte verlassen, sondern auch milliardenschwere Börsen wie Binance.

Für dieses Projekt soll dennoch mal die Infura-API verwendet werden, um den Kontostand einer ETH-Adresse zu ermitteln. Mit dem web3j Framework ist das auch in Java realisierbar. Hier der Architektur Aufbau:

Wir starten (wie immer) mit einem JUnit 5 Test: „ETH-Kontostand via Web3j und Infura mit Java in 5 Schritten abfragen“ weiterlesen

Quicktest: Camunda Modeller 4.10.0 mit Crypto BPMN Workflow

Seit zwei Wochen gibt es nun die neue Version vom Camunda Modeller 4.10.0. Wenn das kein Grund für ein Quicktest ist. Wir nehmen diesen Crypto Workflow da BTC >43k$:

Und nun die Token Simulation als Video:

Es scheint noch alles zu laufen. Das ist ua. neu „Quicktest: Camunda Modeller 4.10.0 mit Crypto BPMN Workflow“ weiterlesen

„I Am Not Satoshi Nakamoto“ oder wie kann eine lokale Blockchain erstellt werden und eine Transaktion mit Metamask durchgeführt werden

Wer eine lokale Blockhain erstellen will, kann das mit Ganache tun. Ganache ist auch mit den Bezeichnungen Trüffelmasse oder Pariser Creme als hochwertige Sahnecreme aus Kuvertüre und Rahm, die zum Füllen und Überziehen von Gebäck und Süßigkeiten verwendet wird bekannt.

Zurück zur lokalen Ethereum Blockchain. Mit dieser lokalen Blockchain werden die Entwicklungsprozesse sehr schnell. Ganache kommt als Kommandozeile (ganache-cli) und auch als GUI für Windows, Mac und Linux daher.

Was machen wir?
1. Install der lokalen Blockchain Ganache
2. Ganach local Netzwerk in MetaMask anlegen
3. Account in MetaMask anlegen
4. Eine Transaktion mit MetaMask auf lokaler Blockchain durchführen (1 ETH auf ein anderes Konto überweisen)

Nach dem Download und Install des Programms, kann man auf „Quickstart Ethereum“ klicken und man hat eine Blockchain mit 10 Adressen a 100 ETH wie hier zu sehen.

Nun wollen wir die 1. Transaktion auf der localen Blockchain mit MetaMask machen. Wir brauchen dazu die RPC-Server URL: http://127.0.0.1:7545 und die Chain ID: 1337.

Wir klicken in MetaMask auf „Spezieller RPC:

und geben die die URL und die Chain ID ein:

Dann klicken wir auf „Speichern“. „„I Am Not Satoshi Nakamoto“ oder wie kann eine lokale Blockchain erstellt werden und eine Transaktion mit Metamask durchgeführt werden“ weiterlesen

NodeRed: Kurze Durchsage der chinesischen Zentralbank: „The People’s Bank of China has declared all cryptocurrency payments illegal“

BTC/USTD

Dazu passend mein NodeRed Flow der auf einem Raspberry Pi 4 läuft:

Dazu der Bitcoin Flow (es gehen alle Cryptos) mit NodeRed implementiert. … „NodeRed: Kurze Durchsage der chinesischen Zentralbank: „The People’s Bank of China has declared all cryptocurrency payments illegal““ weiterlesen