Le 12 octobre, atelier-café sur la protection des communications pour les nOObs à Montreuil
▻http://simplonco.tumblr.com/post/61656772515/cafe-vie-privee-1-simplonco-surfez-chattez
Le 12 octobre, atelier-café sur la protection des communications pour les nOObs à Montreuil
▻http://simplonco.tumblr.com/post/61656772515/cafe-vie-privee-1-simplonco-surfez-chattez
Reaktion auf Snowden-Enthüllungen: Regierung zweifelt an NSA-Spionage - SPIEGEL ONLINE
▻http://www.spiegel.de/netzwelt/netzpolitik/reaktion-auf-snowden-enthuellungen-regierung-zweifelt-an-nsa-spionage-a-9208
Hamburg - Der NSA-Skandal weitet sich aus: Dokumente, die der ehemalige Geheimdienst-Mitarbeiter Edward Snowden kopieren konnte, deuten auf Sicherheitslücken bei der Internet-Verschlüsselung hin. Offenbar haben Geheimdienste Mittel und Wege gefunden, private Netzwerke (VPN) und verschlüsselte Verbindungen (SSL) anzugreifen - und nimmt mit Millionenaufwand Einfluss auf Unternehmen.
Die deutsche Bundesregierung will davon allerdings nichts wissen. Am Freitag mussten sich Journalisten erneut anhören, es handele sich bei den NSA-Enthüllungen weniger um einen Skandal als um „völlig unbewiesene Behauptungen“, wie ein Sprecher des Innenministeriums sagte.
Dass der amerikanische Geheimdienst und sein britisches Pendant GCHQ offenbar massiven Einfluss auf „New York Times“ und „Guardian“ genommen haben, um die Veröffentlichung zu verhindern, ficht die Bundesregierung nicht an. Zum Teil haben die Medien auf die Nennung von Details verzichtet, schreiben sie.
Klassisches Ablenkungsmanöver
Der Sprecher des Innenministeriums lässt sich davon nicht beeindrucken. Schon einmal hätte sich eine Behauptung Snowdens als falsch herausgestellt, sagt er: „Damals hat Herr Snowden behauptet, in Deutschland würde die NSA flächendeckend bei deutschen Bürgern die gesamte Kommunikation abfischen. Dieser Verdacht ist völlig ausgeräumt worden und hat sich als gegenstandslos erwiesen.“
Nur haben weder der Whistleblower Edward Snowden noch die an den Enthüllungen beteiligten Medien diesen Vorwurf erhoben. Die Bundesregierung stellt hier selbst eine Behauptung in den Raum, um sie danach widerlegen zu können - ein klassisches Ablenkungsmanöver. Vielmehr ging es um die Erfassung von Millionen von Kommunikationsdaten durch den deutschen Bundesnachrichtendienst, die an die NSA übermittelt wurden. Ein beträchtlicher Teil davon stammt aus der Funkzellenauswertung in Afghanistan.
Die Bundesregierung weist also einen Verdacht zurück, der nicht geäußert wurde - um tatsächliche Vorwürfe nicht weiter kommentieren zu müssen: „Genauso haben wir auch für diesen neuen Verdacht von Herrn Snowden bislang keine Anhaltspunkte“, so der Sprecher des Innenministeriums am Freitag mit Blick auf mögliche Angriffe auf die Verschlüsselung im Internet.
Die Bundesregierung sei „da ja nicht gefragt“
Die Reaktion der Bundesregierung auf die NSA-Affäre, auf die Überwachung des europäischen Internet-Verkehrs durch den britischen Geheimdienst, besteht bisher aus Abwiegeln. Der für die Geheimdienste zuständige Kanzleramtsminister Ronald Pofalla hat vor Wochen schon versucht, die Affäre für beendet zu erklären.
Was unternimmt die Bundeskanzlerin zum Schutz der Bürger vor Ausspionierung? Der stellvertretende Regierungssprecher stellte am Freitag fest, „zunächst einmal“ sei die die Bundesregierung „da ja nicht gefragt“. Im Übrigen, sagte der Sprecher des Innenministeriums, „rät der Bundesinnenminister weiterhin zur Verschlüsselung von Daten via E-Mail, und wir bieten dafür die De-Mail an.“ Bei dem kostenpflichtigen E-Mail-Ersatz müssen sich Nutzer ausweisen, das System soll sicher gegen Spionage sein. Weil auf eine Ende-zu-Ende-Verschlüsselung bei der De-Mail aber verzichtet wird, können Provider und Ermittler die Kommunikation theoretisch auslesen, wenn sie denn wollen.
Überhaupt tut die Bundesregierung weiter so, als hätte es die Enthüllungen der vergangenen Monate nicht gegeben. Es gebe „keine Anhaltspunkte dafür, dass ausländische Dienste hier E-Mails mitlesen“, so der Sprecher des Innenministeriums. Im Fernsehen, als Gast bei „Illner Intensiv“ hatte sich Friedrich sogar noch deutlicher festgelegt: „Es werden normale Bürger in diesem Land nicht ausspioniert, weder von unseren Diensten noch von amerikanischen Geheimdiensten.“ NSA-Dokumente legen allerdings den umgekehrten Schluss nahe: Deutschland ist demnach das Land in der EU, aus dem die meisten Daten kommen sollen.
Feds put heat on Web firms for master encryption keys | Politics and Law - CNET News
▻http://news.cnet.com/8301-13578_3-57595202-38/feds-put-heat-on-web-firms-for-master-encryption-keys
The U.S. government has attempted to obtain the master encryption keys that Internet companies use to shield millions of users’ private Web communications from eavesdropping.
These demands for master encryption keys, which have not been disclosed previously, represent a technological escalation in the clandestine methods that the FBI and the National Security Agency employ when conducting electronic surveillance against Internet users.
commentaire de @reichenstein:
The Web revolution has come full circle. We started with the storm on the Bastille and now Napoleon crowned himself
#NSA #surveillance #ssl
Feds tell Web firms to turn over user account passwords
▻http://news.cnet.com/8301-13578_3-57595529-38/feds-tell-web-firms-to-turn-over-user-account-passwords
#SSL: Intercepted today, decrypted tomorrow - the state of Perfect Forward Secrecy today…
▻http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
#privacy #security
SSL Checker - SSL Certificate Verify
▻http://www.sslshopper.com/ssl-checker.html
Use //
instead of http://
or https://
: HTTP client will use whatever protocol the page was fetched with - ▻https://news.ycombinator.com/item?id=5514784 #SSL #HTTP #HTTPS
ISP uses transparent proxy to inject #advertising in #Web pages - copyright infringement, network neutrality violation and not even the pretense of user benefits shown by those who blocked advertising or compressed images. Thanks for the #SSL evangelism !
▻http://zmhenkel.blogspot.com/2013/03/isp-advertisement-injection-cma.html #NetNeutrality
Has HTTPS finally been cracked? Five researchers deal SSL/TLS a biggish blow...
▻http://nakedsecurity.sophos.com/2013/03/16/has-https-finally-been-cracked
Cryptographers have once again put SSL/TLS (that’s the padlock in HTTPS) in their gunsights and opened fire.
This time, they’ve done some severe damage.
Paul Ducklin takes a detailed look…
Source: Naked Security - Paul Ducklin
#cryptography #featured #analysis #beast #cracked #lucky_13 #lucky_thirteen #ssl #tls
Blog Stéphane Bortzmeyer : Utiliser l’Autorité de Certification CAcert
►http://www.bortzmeyer.org/cacert.html
utilisation de l’autorité de certification gratuite CAcert
The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov
Une excellente étude sur les vulnérabilités des applications utilisant #TLS (autrefois nommé #SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait de détourner le trafic vers un autre serveur que celui visé. Mais, contrairement aux navigateurs Web, ces applications, souvent critiques (paiement entre cyber-marchands, par exemple) n’ont guère été étudiées et ont des vulnérabilités souvent énormes, permettant à un attaquant de se faire passer pour le serveur légitime, malgré TLS.
Pour ne donner qu’un exemple (mais un des plus beaux), la bibliothèque #cURL, très utilisée par d’innombrables applications, a un paramètre CURLOPT_SSL_VERIFYHOST. La documentation dit bien qu’il doit être mis à 2 (sa valeur par défaut) pour que le nom soit vérifié et à 1 pour couper la vérification. Bien des programmes écrits dans des langages sans typage fort (comme PHP), mettent ce paramètre à « true », donc à 1, coupant ainsi la validation...
Les auteurs de l’article, après avoir cassé la sécurité de TLS dans des dizaines d’applications, suggèrent des API mieux documentées, plus claires et de plus haut niveau, pour diminuer le risque que les programmeurs se trompent.
Excellente étude pratique sur l’efficacité (ou plutôt l’absence de) des avertissements de sécurité lors de connexions #SSL, avec des tests de design alternatifs « Crying Wolf : An Empirical Study of SSL Warning Effectiveness » de Sunshine, J., Egelman, S., Almuhimedi, H., Atri, N., et L. Cranor
►http://www.usenix.org/events/sec09/tech/full_papers/sunshine.pdf
#ergonomie #Web #TLS #X.509 #certificats
►http://www.vmadmin.co.uk/linux/44-redhat/145-linuxmysqlencryption
parce que selon les distributions, openssl n’est pas utilisé par défaut...
TelecomixSyria
#SSL implementation and #PFS, some reading: ►http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html (v @koolfy)
TelecomixSyria
Additional info on #Mumble #SSL support and Perfect Forward Secrecy: ►https://syria.wnh.me/9f67783d34861c1bfcb3b8f2128429b1
fsa_hq_syria
The Free Syrian Army burned Al-Assad’s terror militias in Al-Atarib town...:
►http://youtu.be/PdS1HTA41Pc
NMSyria
Saba Najm, a pro-revolution Alawite girl imprisoned by the regime. Don’t let hate blind you. #Syria
►http://t.co/ODb5XZ00
RedRazan
Regime shelling killed him along with two friends, in Homs, Bab Sba’ neighborhood on 28-5-2012. #Syria
syriahabibti
#Syria : another three ambassadors and he has himself a team
►http://wp.me/pdvR4-2UL
TelecomixSyria
Internet disconnection in #Homs (DSL & 3G) and other parts of #Syria. Reports about #SSL blockage in some parts of the country (or ISPs)
SyrianSunnyBoy
Queuing for gaz bottles in #Syria used to distinguish between women queues & men queues. Now there’s a 3rd queue .. for expelled ambassadors
mitmproxy - home
►http://mitmproxy.org/index.html
mitmproxy is an SSL-capable #man-in-the-middle #HTTP #proxy. It provides a #console interface that allows #traffic flows to be inspected and edited on the fly.
mitmdump is the command-line version of mitmproxy, with the same functionality but without the frills. Think tcpdump for HTTP.
– Intercept and modify HTTP traffic on the fly
– Save HTTP conversations for later replay and analysis
– Replay both HTTP clients and servers
– Make scripted changes to HTTP traffic using Python
– #SSL interception certs generated on the fly
mitmproxy - Setting highscores on Apple’s GameCenter
►http://mitmproxy.org/doc/tutorials/gamecenter.html
In this #tutorial, I’m going to show you how simple it is to creatively interfere with #Apple #Game_Center traffic using #mitmproxy .
ssl/ssh multiplexer
►http://www.rutschle.net/tech/sslh.shtml
#sslh accepts #HTTPS, #SSH and #OpenVPN connections on the same port. This makes it possible to connect to an SSH server or an OpenVPN on port 443 (e.g. from inside a corporate firewall, which almost never block port 443) while still serving HTTPS on that port.
#vpn
Testé (très) rapidement, ça m’a pas convaincu : https dans les choux, et les adresses IP source sont toutes transformées en 127.0.0.1. Varnish m’embête déjà assez avec ça sur mon http pour que j’ai envie de gérer la même chose en https:-)
Autre article sur le même programme, qui met davantage l’accent sur l’aspect politique : ►http://linuxfr.org/news/sslh%C2%A0110-la-b%C3%AAte-noire-des-censeurs
OVH et Gandi vendent des « certificats SSL ». Techniquement le nom est peut-être pas le bon, mais on se comprend :-)
Pouvoir envoyer le couple login/passwd de manière chiffrée sur le réseau est le minimum. Et quand on a un site tout web2.0 qui peut participer à faire chuter des régimes politiques, le chiffrement est indispensable.
Mais je sais, la sécurité est la grande oubliée du développement Internet de ces dernières années (X.509 semble le confirmer d’ailleurs)
#seenthis a déjà du SSL qui fonctionne, pas besoin que ça soit validé par une entreprise pas fiable pour que ça soit « vraiment » un « bon » certificat.
Le certificat actuel génère une erreur, les geeks s’en contentent, mais il y a bien qu’eux. En plus, c’est à moi de forcer le HTTPS. En 2011, le minimum est d’avoir HTTPS pour login/passwd.
Le pire est que je suis sûr que vous devez adhérer à l’initiative HTTPS Everywhere.
Oui l’action du formulaire de login devrait être en HTTPS.
Le certificat ne génère pas d’erreur, il génère un dialogue d’information qui demande à accepter ou refuser le certificat selon si tu lui fait confiance ou non.
Je te conseille l’extension MonkeySphere (et CertPatrol) pour Firefox pour aider ce travail de confiance (ça se base sur ton cercle de confiance GPG/PGP, bien plus fiable qu’une signature d’une entreprise qui ne vérifie rien à part que la transaction a bien été payée...).
Sinon tu peux aussi faire comme les gens un peu sérieux : effacer les certificats des entreprises « officielles » de ton navigateur/OS afin de vérifier chaque certificat, ainsi tu verra que SeenThis n’est pas différent des millions d’autres sites utilisant TLS ;)
Juste pour dire que je suis tout à fait d’accord avec @bohwaz. C’est pour cela que je pinaillais sur la différence entre TLS et X.509. TLS est très bien et SeenThis devrait l’utiliser davantage. C’est X.509 le problème.
Etant en https, en cliquant sur « Seenthis » ou « Accueil », on passe en http. #seenthis_bug @seenthis
pareil, quand on veut récupérer son mot de passe (ou vouloir en changer), on repasse en http. #seenthis_bug
Google Geo Developers Blog: Maps APIs over SSL now available to all
►http://googlegeodevelopers.blogspot.com/2011/03/maps-apis-over-ssl-now-available-to-all.html
As public WiFi becomes increasingly ubiquitous, we spend more and more of our time on shared networks. This can expose our personal data to third parties if the sites we access are not secure. Many sites use Google services to store and manage Google data. In response to this, Google is today announcing improved support for SSL (Secure Sockets Layer) across many APIs, and recommending that any application that manages user data switch to using SSL.