SSH som hidden service

Efter dagens presentationer på 32c3 om Tor, Tor Onion Services, More Useful Than You Think, och State of the Onion,  så beslöt jag mig för att börja lägga till alla mina egna (mest privata) tjänster som hidden services.

Instruktionerna för att skapa en konfiguration för sin hidden service är rätt bra, och rätt enkla om man vill dölja en webbtjänst. Men om man vill använda t.ex. en SSH-klient för att ansluta till sin SSH-service så får man söka rätt ordentligt på nätet för att ta reda på hur man gör.

Så här är snabb-snabb-instruktionerna för hur man skapar sin SSH-tjänst som en hidden service på en debian/ubuntu-maskin – kör som root:

apt-get install tor

Lägg till följande i din konfiguration i /etc/tor/torrc:

HiddenServiceDir /var/lib/tor/ssh_hidden_service/
HiddenServicePort 22 127.0.0.1:22

Sedan kör du

systemctl reload tor.service

Du hittar din .onion-adress genom att köra

cat /var/lib/tor/ssh_hidden_service/hostname

Nu har du alltså en SSH uppsatt som en hidden service. Bra! Men hur ansluter man?

Jo, såhär. Man lägger till följande proxy-information i sin .ssh/config, förutsatt att ens socks-proxy för Tor körs på port 9050 (vilket är default):

Host *.onion
ProxyCommand /usr/bin/nc -xlocalhost:9050 -X5 %h %p

Nu ska man alltså helt utan problem kunna köra ett ssh-kommando för att ansluta till en .onion-adress:

ssh pawal@exempelhash123.onion

Om du har en massa maskiner bakom NAT underlättar ju även det här att komma åt dem, även om det blir en hel del extrahopp över Tor-nätet på vägen.

En fotnot: Den här bloggen är även tillgänglig på http://hxrni7witdpetpuf.onion/, men pga hur WordPress fungerar så är det väldigt mycket jobb att få till det så att länkar och bilder går .onion-adresserna istället för att läcka ut till den vanliga sajten.

30
Dec 2015
POSTED BY
DISCUSSION 2 Comments
TAGS

Tvåfaktorautentisering är lätt

Jag slog precis på tvåfaktorautentisering här på min blogg. Det tog ungefär tre minuter.

Om du vill slippa all teori omkring så gör man så här:

  1. Installera FreeOTP på din telefon.
  2. Ladda ner tillägget Two Factor Auth till din WordPress.
  3. Om den inte fungerar, installera php5-mcrypt och se till att den fungerar i din installation.
  4. Klicka på Two Factor Auth i win WordPress-meny och aktivera TOTP.
  5. Läs av QR-koden med FreeOTP på telefonen.
  6. Logga ut från WordPress.
  7. Logga in på WordPress med ditt vanliga lösenord. Nu får du frågan om OTP-koden.
  8. Generera koden i telefonen med FreeOTP och skriv in den i WordPress.

Så enkelt är det. Inga dyra RSA-dosor, inga SMS, och inga engångslösenord nedskrivna på en lapp.

Nästa blogginlägg får bli teorin kring denna lösning.

24
Sep 2014
POSTED BY
DISCUSSION 3 Comments
TAGS

En kommande fragmentering av DNS

Med anledningen av att den “amerikanska regeringen” (Immigration & Customs Enforcement inom Department of Homeland Security) för snart en vecka bad Verisign peka om ett antal .com-domäner till en spärrsida liknande den som svenska ISP:er på frivillig basis implementerat mot barnpornografi, så har piratnördarna med Peter Sunde i spetsen skapat något slags initiativ för att bygga en P2P-baserad DNS-toppdomän, .p2p.

De krav (eller “mål”) som man har med detta är att få till en toppdomän där innehållet inte går att filtrera på det sätt som gjorts ovan. Men för att ta ett mål i taget, från deras wiki:

  • Undgå den “kontroll” som ICANN har idag. Ja, ICANN har inte särskilt mycket kontroll över ccTLD:er som t.ex. .se idag. De kan förstås tillsammans med NTIA ta bort .se från kartan, men det blir med största sannolikhet förhållandevis ganska komplicerade diplomatiska förhållanden mellan Sverige och USA då, samtidigt som ICANN förminskar sin egen roll genom minskat förtroende. Risken för detta är minimal. Att servera sina domäner under .com som drivs av ett amerikanskt företag har ju visat sig vara ödesdigert, men då borde slutsatsen vara att köra sina domäner under toppdomäner som har lagstiftning och myndigheter som man vet hur man uppför sig.
  • Kryptera DNS-uppslagningarna genom mekanismer i P2P-lösningen. Visst, det är ju bra. Men allt som skjuts långt bort i nätet, och bygger på någon form av realtidskrypto sänker prestandan. Nu kan man ju argumentera för att med högre säkerhet och anonymitet, så kan man offra prestanda. Nu har P2P-nät mycket sämre prestanda än DNS ändå, så oavsett vad man gör så blir uppslagningarna långsammare än vanlig DNS. Dessutom vill man inte göra särskilt mycket avancerad krypto i sådana här protokoll, eftersom detta lätt leder till DoS-attacker riktade mot den som ska validera signaturer eller dekryptera information.
  • Återanvända så mycket färdig bittorrent-kod som möjligt. Jag förstår inte varför detta ska vara ett mål, det känns som en teknikerlösning på ett teknikerproblem. Först designar man ett protokoll, sedan tittar man på om det finns färdig kod som kan lösa implementationsbiten.
  • Stöd för .p2p i alla OS och applikationer, genom “open source”. Ja, det är ju bra. Men det är inte så man designar protokoll. Man gör det genom att skriva extremt bra specifikationer som har flera oberoende implementationer, som faktiskt fungerar mellan varandra.
  • Denna uppslagningsmekanism ska inte påverka det övriga DNS-systemet, och här vill man inte betraktas som ett malware. Bra. Men svårt att undvika, eftersom vem som helst kommer att prångla ut “Phree Warez for the .p2p-domainz!1!”-applikationer, eftersom detta inte kommer att ingå som en standardkomponent i ditt operativsystem.
  • Zeroconf. Bra, men det är ju egentligen ingen protokollfråga, utan upp till den specifika applikationen att avgöra. Dessutom kan ju implementationen bara bli zeroconf i klientläge, knappast i den del som ska servera namn till .p2p-namnrymden.
  • Uppslagningsmekanismen ska vara säker och krypterad (sista punkten, end2end…). Ja, why not. DNS är ju inte krypterat idag, även om det förekommit flera förslag på hur man gör detta. Och med DNSSEC kan du vara säker på att DNS-svaren inte är manipulerade.

Min betraktelse här är att kravspecifikationen på ett nytt DNS-liknande protokoll så här långt är väldigt luddiga. Det är en massa önskemål. Men ingen information om hur man publicerar namn, vilka nycklar man ska lita på, och vem som litar på vem. (Det finns något obegripligt om web-of-trust och GPG.) Men mycket Alice and Bob blir det.

Rick Falkvinge har ökat på förvirringen genom att hävda att DNS redan är fragmenterat. Detta baserat på att man i Danmark har lagstiftat att operatörers resolvrar måste filtrera ut piratebay.org. Lösningen ovanför (vad den nu blir) kommer inte att lösa andra resolvrars DNS-filtrering. Här är lösningen givetvis att köra sin DNS-resolver själv. Men det måste man ju ändå om man ska få DNSSEC att skydda DNS-informationen hela vägen till klient-datorn. För det gör ni väl?

Jag är positiv till allt som utvecklar Internet och DNS. Men man löser inte diffusa problem med diffusa tekniska lösningar. Jag gissar att målet i förlängningen är att helt ersätta DNS, men att man vill börja med .p2p, eftersom det är något rimligare. Det är bra. Men då måste man modellera protokollet med vad DNS idag hanterar. Annars kommer det att bli något annat, och då ska man nog inte parasitera på DNS-namnrymden ens.

01
Dec 2010
POSTED BY
POSTED IN DNS Hacks Svammel
DISCUSSION 3 Comments
TAGS

Creeper – efter en vecka

En liten statusrapport kan vara på sin plats efter att Creeper varit i publik drift en vecka. Några saker som är intressanta. Ett antal webbsajter har lagt upp den lilla Creeper-bilden på sina webbsidor, och det börjar bli dags att göra någon form av statistikfunktion.

Några iakttagelser – jag trodde t.ex. inte att swebits.org (som för övrigt verkar ha riktigt mycket trafik) skulle ha några myndighetsbesökare, men idag visade det sig att någon på FRA verkar ha konto där. Jag trodde inte heller att så många offentliganställda läser bloggar av den mest skiftande karaktär, har de inget annat att göra?

Ett par användare har bidragit med IP-adresser, men det finns nog en hel del kvar att fylla på med. Jag saknar Folkpartiet t.ex. – eller surfar de bara genom Socialdemokraternas nät numera? Några tycker dock att man inte ska övervaka partier. Men om man vill ha någon form av opinionsbildning så är det väl just politiker man ska trycka lite extra på?

En reporter från SR ringde upp mig och gjorde en intervju, jag vet dock inte om den sänts. Tomas Gilså på sakerhet.idg.se skrev en liten notis, Creeper ska övervaka makten.

Jag tror att en tysk version, uberwach.de snart kommer att släppas.

13
May 2007
POSTED BY
DISCUSSION 12 Comments
TAGS

Creeper – den lilla övervakaren

Nu lanserar jag min lilla tjänst Creeper. Tanken är att försöka övervaka våra myndigheter som en lillebror som kollar vad storebror har för sig på vårt svenska Internet.

Övervakningen sker genom att du på dina egna webbsidor länkar en bild. Denna bild möjliggör att Creeper kan ta den information som en hämtning av denna bild ger, som att titta på vilken IP-adress förfrågningen kommer ifrån och den hänvisning som gör att hämtningen av bilden sker.

Jag har kört den som test ett litet tag, och den har gett lite kul resultat. Synd bara att FRA döljer sin referrer. Om du vill sätta igång och delta i lillebrorsövervakningen kan du också lägga in bilden på din blogg.

Tycker du att det saknas IP-adresser kontakta mig gärna på pawal@blipp.com eller kommentera här nedan.

06
May 2007
POSTED BY
DISCUSSION 28 Comments
TAGS

Galet Perl-misstag

Så här brukar man skriva hashar i Perl:

my $hash = {
    key1 => 'foo',
    key2 => &bar,
    key3 => 'baz'
};

Nu är det så att man inte alltid vet hur funktionen &bar returnerar sitt data. Om man inte vet det kan det hända att ovanstående hash inte resulterar i den hash man tror att man ska få. Om &bar returnerar data med en wantarray så ska man veta att när man skriver funktionsanrop i en hash, så befinner man sig i list-context. Det betyder att man rätt som det är kan få två eller fler värden returnerade från funktionen &bar. Om man vet att skrivningen “=>” i en hash bara är syntaktiskt socker för ett komma-tecken så betyder det att något så otroligt kan hända att key3 blir ett värde till en nyckel som returneras från &bar.

Allt detta låter naturligtvis helsnurrigt, men det är sant. Man kan hamna i många timmars felsökning, men nu har jag råkat ut för det flera gånger, så jag vet vad ska ska akta mig för… Egentligen kan man tycka att det är en bugg i Perl, och att “=>” borde resultera i ett scalar context, men jag kan för lite Perl-internals för att tycka rätt saker.

06
Jan 2007
POSTED BY
POSTED IN Hacks
DISCUSSION 0 Comments
TAGS

Spam, spam, spam, och bildanalys

De senaste veckorna har mängden spam som min stackars SpamAssassin inte lyckats märka upp korrekt ökat väldigt mycket. Dessa spam som verkar vara skrivna av en blivande vogonpoet innehåller förutom rappakalja även en bild. Denna bild innehåller det egentliga meddelandet, oftast text som ska locka till köp av så kallade penny stocks. Man kan väl lugnt säga att jag tröttnade på att trycka på delete-knappen, och istället letade efter en lösning. Och det fanns en! Så nu är jag en lycklig användare av FuzzyOcr, en plugin till SpamAssassin som gör en bildanalys av bilden, och kollar om den innehåller förbjudna ord (gissa vilka). FuzzyOcr använder sig av bildigenkänningsprogrammet gocr som jag tidigare lyckosamt använt för att tolka telefonnummer på Blocket.

I övrigt verkar spam-mängden bara öka och öka. Och min server-CPU jobbar mer och mer för att känna igen de spam som till slut hamnar i min skräpkorg. Ju fler människor med bra bandbredd och dålig säkerhet på sina Windows-installationer, desto fler spam. I väntan på en bra lösning för att helt få bukt med spam kan man flukta in och se hur dålig affär man kan göra med penny stocks hos Spam Stock Tracker.

13
Nov 2006
POSTED BY
POSTED IN Hacks Spam
DISCUSSION 1 Comment
TAGS

WRT54GL och FON

WRT54Igår fick jag min Linksys WRT54GL från FON, så jag har blivit en “fonero” av typen Linus. Det är min andra WRT54GL, så nu kan jag använda min första burk till lite ondare experiment. Som extra bonus kostade den här bara 1€ med hemleverans, men nu går det tydligen att få den ännu billigare om man orkar hämta den själv, fast jag vet inte om det finns några kvar.

Programvaran (förutom Linux då) som är förinstallerad verkar vara Chillispot för att göra den “kaptiva portalen” (låter inte så vackert försvenskat kanske). Inställningarna man kan göra via det inbyggda webbgränssnittet är ganska få, men man känner sig mer hemtam när man varit inne och ro(u)tat i burken via SSH istället. I nästa version av programvaran ska man kunna köra med dubbla SSID:s, vilket ju är toppen om man vill köra sitt eget nät utan webbinloggning utan att hacka vare sig en radius-proxy eller köra separat accesspunkt.

Så, vad ska jag nu göra med min gamla accesspunkt? På rakt arm kan jag faktiskt tänka mig att göra om den till en trådlös brygga och möblera om lite hemma. Det innebär ju att jag får ethernet-uttag på annan plats utan att behöva dra om kabel. Fast det är mest synd att jag inte passade på att köpa en gammal Belkin medans dessa fanns med USB-uttag, då hade jag kunnat bygga en trådlös musikspelare av den. Hur som helst lär det ju bli en OpenWrt-installation av det.

Bloggen “Fyra nyanser av brunt” har beskrivit FON-konceptet bättre än vad jag tänker göra.

22
Jun 2006
POSTED BY
POSTED IN Hacks Hårdvara Linux
DISCUSSION 1 Comment
TAGS

CuteoverloadAPTCHA

KittenFör att skydda innehåll eller på annat sätt verifiera att en användare på en webbtjänst är en människa så finn det en teknik som kallas CAPTCHA. Det står för Completely Automated Public Turing Test to tell Computers and Humans Apart. En klassisk CAPTCHA ser ut ungefär såhär:

CAPTCHA

Uppgiften är att i en textruta skriva in de tecken som står i grafiken. För att en sådan CAPTCHA ska vara bra, och förhindra datorprogram från att lätt kunna analysera bilden så att man kan utföra automatiska attacker, så ska denna text vara i princip oläsbar. Ju mer oläsbar desto bättre skydd mot automatisk analys av innehållet.

Jag snubblade precis över en riktigt rolig, Cute Overload-inspirerad teknik, KittenAuth! Den går ut på att bland en massa bilder på söta djur, klicka på de tre som är söta kattungar. Tekniken finns att testa här, och lyckas man identifiera kattungarna får man svaret OMG PONIES!!! YOU CLICKED 3 KITTENS!!!!!! Om detta skyddar bättre mot automatiska attacker låter jag vara osagt, men det känns spontant jobbigare för datorer att känna igen kattungar än alfabetet.

07
Apr 2006
POSTED BY
POSTED IN Hacks
DISCUSSION 1 Comment
TAGS

Första Squeezebox-hacket

Det tog inte så lång tid innan jag gjorde mitt första hack till Squeezeboxen. För att kunna lyssna på Real Audio- och WMA-strömmar på Squeezeboxen så finns det en plugin som heter AlienBBC. Det är inte helt lätt att komma in helt färsk och lista ut att Alienstream och AlienBBC är helt olika saker, och den ena är helt föråldrad, och dels är det svårt att veta vilken programvara AlienBBC helst av allt vill köra för att fungera optimalt. Hur som helst visade sig att AlienBBC numera vill använda sig av mplayer. När jag väl försökt få mplayer att fungera väl med AlienBBC så upptäcker jag att jag dessutom kör en gammal version av AlienBBC. Minst sagt förvirrande. När jag väl uppdaterat allt jag har till det absolut senaste började mitt hack fungera, skrivet flera dagar tidigare, nämligen AlienSRMenu.pm. SRMenu är ett tillägg till AlienBBC som helt enkelt tar Sveriges Radios alla Real Audio-strömmar och konverterar dem till något som Squeezeboxen kan förstå och spela upp.

Nu återstår bara att få AlienBBC-killarna att lägga in den i sin distrubution så kan alla svenska Squeezebox-ägare vara lite gladare, eller något sånt. Fast egentligen har jag ju en radio som fungerar.

Fotnot: Sveriges Radio har ändrat länkarna för sina audio-strömmar. Suck. Här hittar man de uppdaterade länkarna.

30
Dec 2005
POSTED BY
DISCUSSION 14 Comments
TAGS