ua-parser-js updates garantieren keine Sicherheit und installiert Krypto-Miner auch auf Raspberry Pi? – allow a remote attacker to obtain sensitive information or take control of the system.

Massive Sicherheitslücke in UAParser. Selbst das CIA gibt eine Warnung heraus.
Mal in allen Verzeichnisen auf meinem Raspberry Pi gesucht mit:

Ergebnis: „ua-parser-js updates garantieren keine Sicherheit und installiert Krypto-Miner auch auf Raspberry Pi? – allow a remote attacker to obtain sensitive information or take control of the system.“ weiterlesen

CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen


Hier hatte ich beschrieben, wie ein 521-Bit private Elliptic Curve Cryptography (ECC) Key erzeugt werden kann. Mit diesem privaten Key können wir auch leicht eine CA-Zertifikat erzeugen. Einfach in dem Verzeichnis mit dem privaten Key ein:

openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out ecc-cacert.pem

eingeben und diese Fragen beantworten (oder einfach Return, dann wir der default verwendet).
Zuerst zweimal das gleich gutes Passwort eingeben. Wichtig ist auf jeden Fall der Common Name (e.g. server FQDN or YOUR name) Z.B. www.wenzlaff.de oä. und dann:

Und schon liegt ein CA-Zertifikat in der Datei ecc-cacert.pem.

Die kann mit cat ecc-cacert.pem angesehen werden: „CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen“ weiterlesen

Webserver Sicherheit überprüfen mit nikto

Wer einen eigenen Webserver laufen hat, kann mit nikto einen Sicherheitscann ausführen.

Nikto ist ein in Perl geschriebener Open Source Web Server Scanner. Nikto testet Web Server auf über 7800 potentiell schädliche Dateien und Programme und prüft über 1250 Server-Versionen auf ihre Aktualität und weist bei über 270 Server-Versionen auf bekannte Sicherheitslücken hin. Der Scanner prüft Header und versucht ausserdem, ausnutzbare Fehler und Defaults in der Webserver-Konfiguration aufzudecken. Nikto schickt ca. 7800 GET-Requests an den Webserver, um auf das Vorhandensein unsicherer Inhalte zu prüfen, richtet also keinen Schaden an.

Der ist schnell auf dem Raspberry Pi installiert mit:

sudo apt-get install nikto

Es wir die v2.1.5 installiert. Das kann mit
nikto -Version überprüft werden. Es wird die ausgegeben: „Webserver Sicherheit überprüfen mit nikto“ weiterlesen

Firewall in 10 Minuten einrichen mit UFW (Uncomplicated firewall) nicht nur auf dem Raspberry Pi

Eine Firewall ist auf dem Raspberry Pi schnell mit dem UFW eingerichtet und kann die Sicherheit verbessern.

Die Firewall UFW muss nur installiert werden mit:

Nun schalten wir zuerst den ipv6 auf no in der Datei /etc/default/ufw, da er bei mir nicht verwendet wird. „Firewall in 10 Minuten einrichen mit UFW (Uncomplicated firewall) nicht nur auf dem Raspberry Pi“ weiterlesen

Bitcoin heute über 60.000 Dollar: Free Wallet Wiederherstellungs Vorlage für Bitcoin ua. Wallets (Wallet Recovery Sheet Template)

Heute ist der Bitcoin Kurs zum ersten mal auf über 60.000 Dollar bzw. 50.000 Euro gestiegen. Jetzt ist er gerade bei:

Kurs Bitcoin

wie das NodeRed Dashboard vom Raspberry Pi im Docker anzeigt. Digitalwährungen wie Bitcoin gelten als riskante Geldanlagen, da sie im Kurs teils erheblich schwanken. Habe für alle Leser mal ein Backup Wallet Formular designt: „Bitcoin heute über 60.000 Dollar: Free Wallet Wiederherstellungs Vorlage für Bitcoin ua. Wallets (Wallet Recovery Sheet Template)“ weiterlesen

Bitcoin: Public Key hashen mit SHA-256 und dann RIPEMD-160

public key hash für bitcoin

Der public Key wird zunächst mit SHA-256 gehasht. Der Output dieser kryptografischen Hashfunktion wird dann mit RIPEMD-160 gehasht, einer anderen kryptografischen Hashfunktion, die als Output eine 160 Bit (20 Byte) lange Zahl erzeugt. Wir nennen diesen letzten Hash den public Key Hash (PKH). Wie hier im BPMN Flow dargestellt: … „Bitcoin: Public Key hashen mit SHA-256 und dann RIPEMD-160“ weiterlesen

Mal was anderes als Schnee und Glatteis: Salzen mit SHA-256 in Java

hash, bitcoin,

Kryptografische Hashfunktionen können zur Integritätsprüfung verwendet werden, um Änderungen in Daten festzustellen. Bitcoin verwendet kryptografische Hashfunktionen sehr ausgiebig, um zu überprüfen, dass sich Daten nicht geändert haben. Zum Beispiel wird immer ab und zu – durchschnittlich alle 10 Minuten – ein neuer Hash der gesamten Zahlungsgeschichte erzeugt. Wenn jemand versucht, diese Daten zu ändern, wird dies sofort von jedem, der die Hashes überprüft, bemerkt.

Grundlegenden Eigenschaften von Hash:

-Gleiche Eingabedaten erzeugen den gleichen Hash.
-Leicht unterschiedliche Eingabedaten erzeugen sehr unterschiedliche Hashes.
-Der Hash hat stets eine feste Länge. Bei SHA256 sind dies 256 Bits.
-Die Holzhammermethode Trial-and-Error ist der einzige bekannte Weg, einen Input zu finden, der einen bestimmten Hash erzeugt.

Hier mal ein kleines Java Beispiel mit unterschiedlichen Libs und pur Java: … „Mal was anderes als Schnee und Glatteis: Salzen mit SHA-256 in Java“ weiterlesen

Java Bitcoin: BIP39 Mnemonic Generierung mit Adressen mit Java auf einem Raspberry Pi in 1 Minute – Crypto BPMN

Wie kann man für Bitcoin die geheimen Wörter, private und public Key und Adressen mit Java auf einem Raspberry Pi generieren? Hier mal ein Beispiel. Zuerst ein BPMN für den Überblick wie es läuft.

Bitcoin, key, crypto

Das geht in 1 Minute, mit diesen drei Schritten auf der Komandozeile … „Java Bitcoin: BIP39 Mnemonic Generierung mit Adressen mit Java auf einem Raspberry Pi in 1 Minute – Crypto BPMN“ weiterlesen

Java: Ausgabe Methode aller im System bekannten Security Providers oder safety first

Wer mal alle Security Provider im System ausgeben will, kann diese Methode verwenden:

Ergebnis auf einem Test-System: „Java: Ausgabe Methode aller im System bekannten Security Providers oder safety first“ weiterlesen

nmap scan von xml to html mit xsltproc auf Raspberry Pi mit Debian (Kali)

Es muss nicht immer Kali sein. Auch FFP2-Masken schützen keine Rechner, da muss man schon aktiv nach Sicherheitslücken suchen und stopfen. Auch ein Raspberry Pi mit Debian geht für das Scannen von Netzwerken mit nmap. Heute wollen wir das Ergebnis des Sicherheits-Scanns mal in eine lesbare HTML-Form mit xsltproc transformieren. Das geht in ein paar Minuten.

Der Aufbau soll sein:

Dann mal los, es sind nur 5 Schritte nötig:

1. Installieren von nmap und xsltproc „nmap scan von xml to html mit xsltproc auf Raspberry Pi mit Debian (Kali)“ weiterlesen

WLAN Passwort aus wpa_supplicant.conf entfernen


Wenn in der /etc/wpa_supplicant/wpa_supplicant.conf eines Raspberry Pi noch das WLAN-Passwort im Klartext steht, kann das optional durch einen Key ersetzt werden. Der Key kann einfach als ROOT erstellt werden:

Dann noch die auskommentierte Passwortzeile löschen, wie hier ausführlich beschrieben.

Video zum 10-millionsten Download der Corona-Warn-App: Bluetooth Scann mit dem Raspberry Pi für Wireshark

Hier mal ein 6 Minuten live Video zum 10-millionsten Download der Corona-Warn-App. Ein Bluetooth Scann mit dem Raspberry Pi für Auswertung mit Wireshark …

Das Script „Video zum 10-millionsten Download der Corona-Warn-App: Bluetooth Scann mit dem Raspberry Pi für Wireshark“ weiterlesen

Dork mit sqliv auf dem Raspberry Pi unter Debian

Eine Google-Dork-Abfrage (oder Bing, …) beziehungsweise abgekürzt ein Dork ist eine spezielle Suchabfrage, die fortgeschrittene Parameter von Suchmaschinen wie Google, Bing usw. nutzt, um Informationen aus einer Webseite herauszufiltern, die anders nicht so leicht verfügbar wären. Dazu gehören auch Informationen, die nicht für die Öffentlichkeit gedacht sind und die nur unzureichend geschützt wurden.

Google-Dorking ist ein passiver Angriff, mit dem sich Nutzernamen, Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten und Sicherheitslücken auf Webseiten herausfinden lassen.


Mit dem sqliv ist es leicht solche Abfragen zu automatisieren.

Wie kann das Python-Script auf Debian (wozu Kali 😉 installiert werden: „Dork mit sqliv auf dem Raspberry Pi unter Debian“ weiterlesen

Wie kann dein Google Kalender in 3 Minuten vor Spammern geschützt werden?

Die Kalender Einstellungen des Google Kalenders ermöglichen es Spammern defalult leicht Termine einzustellen die man nicht will (SPAMM). Wer unerwünschte Termine oder Einladungen erhält, kann es etwas eindämmen. Dazu diese Einstellungen anpassen unter Einstellungen und Allgemein:

Un dann die rot markierten Optionen abwählen bzw. Nein wählen, so das es ungefähr so aussieht: „Wie kann dein Google Kalender in 3 Minuten vor Spammern geschützt werden?“ weiterlesen

Gemeldete Telekom Sicherheitslücke mit Prepaid Karten immer noch in der „Hall of Fame“ vermerkt

Die Telekom hat immer noch eine von mir gemeldete Sicherheitslücke in ihren Prepaid Karten verlinkt. Auch wenn die Sicherheitslücke von tausenden Betroffenen Karten als Verpackungsfehler (Aus meiner sicht verschleiern) deklariert wird.

Aber immerhin gibt es in der Hall auf Fame immer noch diesen Eintrag (Stand: 20.05.2019):

Hier der Link zur Dankseite der Telekom. Na ja, eine Zeile ist besser als nichts! Oder? 😉

Wie kann ein VPN-on-Demand Profil auf das neuen IPhone X bzw. IPad Pro mit webdav installiert werden?

Früher konnte man sich die VPN.mobileconfig Datei einfach (aber unsicher) per E-Mail zusenden und installieren. Das geht nun nicht mehr.

Jetzt kann die Datei z.B. auf die Cloud (verschlüsselt) geladen und von dort mit dem Safari Browser per Web-Dav geöffnet werden. Das geht so:

1. Die VPN.mobileconfig (xml Textdatei) mit den kostenlosen Apple Configurator 2 oder per Hand erstellen (siehe hier auf dem Blog).

2. An die Cloud mit Webdav zugang anmelden (mit User und Passwort) und die VPN.mobileconfig kopieren z.B. nach https://webdav.mediencenter.t-online.de


„Wie kann ein VPN-on-Demand Profil auf das neuen IPhone X bzw. IPad Pro mit webdav installiert werden?“ weiterlesen

Kommentarfunktion für Blog abgeschaltet und History gelöscht!

Für diesen und alle meine anderen Blogs habe ich nun die Kommentarfunktion ganz abgeschaltet und alle alten Kommentare unwiederbringlich gelöscht. Damit sind nun auch keine E-Mail bzw. Web-Adressen der Kommentargeber oder auch IPs gespeichert. Alle Fotos bzw. Avatare sind nun auch gelöscht.

Die Statistik Plugins wurden auch abgeschaltet, und die Tabellen davon gelöscht, so das keine persönlichen Daten mehr gespeichert sind und werden.

Die Social Media like Buttons wurden ja schon vor langer Zeit entfernt.

Auch die Bilder für Referenzen als Counter für div. Blogdienste wurden entfernt. Wer diese Seite weiterhin lesen will, kann das ja direkt und nicht über Blogdienste tun. Oder den RSS-Feed abonnieren.

Vielen Dank, für die über 1000 Beiträge in der Vergangenheit.

Wer jetzt Kommentare, Vorschläge, Verbesserungen usw. zu einzelnen Beiträgen geben will, kann das gern per E-Mail (siehe Kontakt) tun.

Wie können 433 Mhz Signale von PKWs (Reifen, Zentralveriegelung) per MQTT auf einen Raspberry Pi auswertet werden?

In diesem Blogbeitrag hatte ich schon mal beschrieben, wie man mit einem Softwarenradio Temperatursensoren und Luftruck von Autoreifen (TPMS) uä. auf 433,92 Mhz empfangen kann. So kann man alle Autos über die Reifensensoren oder aber auch über die Schließanlangen tracken, da immer eine eindeutige ID versendet wird.

Datenschutz läßt grüßen.

Die Empfangsanlage steht mit Sicht auf die Straße, da für 433 Mhz nur die maximal zulässige äquivalente Strahlungsleistung von 10 mW ERP für die Funkanwendungen mit geringer Reichweite (SRD) verwendet werden darf.

Hier der Aufbau, mit Leistungsmessung und Accu. „Wie können 433 Mhz Signale von PKWs (Reifen, Zentralveriegelung) per MQTT auf einen Raspberry Pi auswertet werden?“ weiterlesen

Gravierende Prozessor-Sicherheitslücke: Raspberry Pi von Meltdown und Spectre (bisher) nicht betroffen

So wie es im Moment aussieht, sind alle Versionen vom Raspberry Pi (zum jetzigen Zeitpunkt) nicht von der Meltdown und Spectre Sicherheitslücke betroffen.

Das kann man aus diesem Post (engl.) entnehmen, da die Pi Prozessoren „Gravierende Prozessor-Sicherheitslücke: Raspberry Pi von Meltdown und Spectre (bisher) nicht betroffen“ weiterlesen

Sicherheit: gpg (GnuPG) Key Verwaltung mit pass auf dem Raspberry Pi oder sonst wo oder cooler kostenloser Passwort Manager für Raspberry Pi

Wer einen Passwort Manager braucht, kann pass verwenden. Den gibt es kostenlos für alle Betriebssysteme. Die Passwörter werden alle mit gpg Verschlüsselt und liegen in ~/.password-store so das sie leicht verwaltet werden können. Die Passwörter können mit unix shell Kommandos so leicht verwaltet werden. Auch eine bash Auto-Vervollständigung gibt es. Auch eine Git Integration ist möglich.

Wenn noch kein gpg Key auf dem Raspberry Pi angelegt wurde oder auch sonst noch keiner vorhanden ist, diesen einmal mit

erzeugen. Es muss nur der Name und die E-Mail Adresse angegeben werden, nach einem O muss man ein paar Minuten warten, bis der Key erzeugt wurde: „Sicherheit: gpg (GnuPG) Key Verwaltung mit pass auf dem Raspberry Pi oder sonst wo oder cooler kostenloser Passwort Manager für Raspberry Pi“ weiterlesen

Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)

Sicherheit in Java-Projekten. Datenlecks in Java-Code entdecken. Reports mit bekannten Sicherheitslecks können leicht erstellt werden. Hier mal ein Beispiel Report im HTML Format:

Grundlage bildet die National Vulnerability Database (NVD) Datenbank für Sicherheitslücken, die vom National Institute of Standards and Technology (NIST) gepflegt wird. Wie können solche Reports erstellt werden?

Einfach in der Maven pom.xml das folgende Plugin DependencyCheck ergänzen: „Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)“ weiterlesen

Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi

Mal etwas zur Entspannung. Manchmal will man wissen ob ein Server erreichbar ist. Dafür gibt es das Kommandozeilen Programm ping. Wenn man diesen ping z.B. alle 5 Minuten ausführt hat man eine leicht Überwachung ob der Server noch erreichbar ist. Gesagt getan. Einen kleinen flow der alle 5 Minuten einen Ping ausführt und bei Veränderung eine Pushover Nachricht auf das Handy sendet.

So kann der Flow zusammen geklickt werden:

Im hellgelben „adv ping Node“, kann die IP-Adresse angegeben werden. Im „function Node“ wird der Ping ausgewertet. „Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi“ weiterlesen

Video DIY USB Passwort Generator mit Attiny 85

Vor ein paar Tagen hatte ich schon mal den ATTINY 85 vorgestellt.


Das ist ein cooles Teil mit USB und das für 1 Euro. Er emuliert eine Tastatur (HID).

Also mal ein weiteres Programm, für folgendes Problem. Wer lange und komplizierte Passwörter verwendet, hat mit unter keine Lust, sie immer wieder einzugeben. Das ist auch fehleranfällig. Oder man möchte jemand anderes an seinen Rechner lassen, und ihn nicht das Passwort geben. Also gibt man den Generator weiter.

Wir erstellen also ein Programm, das das Passwort automatisch an den Rechner sendet. Man muss dann natürlich auf das Teil aufpassen, das es nicht in falsche Hände kommt. Wir senden nur einmal, das gespeicherte Passwort. Hier mal ein 45 Sekunden Demo Video:

Hier das C-Programm, es ist ein sehr einfaches Programm mit ein paar Zeilen: „Video DIY USB Passwort Generator mit Attiny 85“ weiterlesen

iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?

Auch mit dem neuen iPad Pro und iOS 9.1 läuft VPN on Demand so wie in dem Beitrag schon einmal erwähnt (auch hier). Es sind keine Änderungen an der config Datei nötig, obwohl es einige Neuerungen gab, „iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?“ weiterlesen