SSH som hidden service

Efter dagens presentationer på 32c3 om Tor, Tor Onion Services, More Useful Than You Think, och State of the Onion,  så beslöt jag mig för att börja lägga till alla mina egna (mest privata) tjänster som hidden services.

Instruktionerna för att skapa en konfiguration för sin hidden service är rätt bra, och rätt enkla om man vill dölja en webbtjänst. Men om man vill använda t.ex. en SSH-klient för att ansluta till sin SSH-service så får man söka rätt ordentligt på nätet för att ta reda på hur man gör.

Så här är snabb-snabb-instruktionerna för hur man skapar sin SSH-tjänst som en hidden service på en debian/ubuntu-maskin – kör som root:

apt-get install tor

Lägg till följande i din konfiguration i /etc/tor/torrc:

HiddenServiceDir /var/lib/tor/ssh_hidden_service/
HiddenServicePort 22 127.0.0.1:22

Sedan kör du

systemctl reload tor.service

Du hittar din .onion-adress genom att köra

cat /var/lib/tor/ssh_hidden_service/hostname

Nu har du alltså en SSH uppsatt som en hidden service. Bra! Men hur ansluter man?

Jo, såhär. Man lägger till följande proxy-information i sin .ssh/config, förutsatt att ens socks-proxy för Tor körs på port 9050 (vilket är default):

Host *.onion
ProxyCommand /usr/bin/nc -xlocalhost:9050 -X5 %h %p

Nu ska man alltså helt utan problem kunna köra ett ssh-kommando för att ansluta till en .onion-adress:

ssh pawal@exempelhash123.onion

Om du har en massa maskiner bakom NAT underlättar ju även det här att komma åt dem, även om det blir en hel del extrahopp över Tor-nätet på vägen.

En fotnot: Den här bloggen är även tillgänglig på http://hxrni7witdpetpuf.onion/, men pga hur WordPress fungerar så är det väldigt mycket jobb att få till det så att länkar och bilder går .onion-adresserna istället för att läcka ut till den vanliga sajten.

30
Dec 2015
POSTED BY
DISCUSSION 2 Comments
TAGS

Toppdomäners användande av TLS

Jag gjorde en snabb körning på hur det ser ut med TLS hos våra toppdomäner i världen. Med den nuvarande tillväxten av nya toppdomäner har vi idag 1082 delegerade toppdomäner i root, och det växer sakta tills dess att ICANN har delegerat alla nya toppdomäner.

Eftersom vi vill att TLS ska finnas på alla webbsajter är det intressant att se hur toppdomäner skyddar sin kommunikation med allmänheten. Så min första enkla analys är att helt enkelt se vilken URL man registrerat hos IANA, och se om de har https som default. IANA har en WHOIS-databas för toppdomänerna där man kan registrera sin webbsida. Detta har 1010 av 1082 toppdomäner gjort, dvs 93% av alla toppdomäner.

Men sedan kommer det lite nedslående resultatet. Tittar jag efter https i resultatet så är det bara 23 registryn som registrerat en webbsida med HTTPS:

am. https://www.amnic.net/
ar. https://nic.ar
bank. https://www.ftld.com/
bw. https://registry.nic.net.bw
cfa. https://www.cfainstitute.org
cloud. https://www.getdotcloud.com
fi. https://domain.fi
frl. https://registreer.frl
id. https://register.pandi.or.id
iq. https://registrar.cmc.iq
jo. https://www.dns.jo/login.aspx
lds. https://www.lds.org
lidl. https://www.nic.lidl
mo. https://www.monic.mo
mp. https://get.mp/
mt. https://www.nic.org.mt/
nl. https://www.sidn.nl/
schwarz. https://www.nic.schwarz
trust. https://nccgroupdomainservices.com
xn--j1amh. https://namestore.u-registry.com
xn--tckwe. https://www.verisigninc.com
xn--y9a3aq. https://www.amnic.net/
zm. https://registry.zicta.zm

Dvs, enbart 2% av alla toppdomäner har registrerat en webbsida som skyddas av HTTPS. En närmare analys ger förhoppningsvis ett bättre resultat, då man kanske glömt att registrera en webbsida med https istället för http.

Script:

Hela resultatet hos Pastebin.

 

27
Oct 2015
POSTED BY
POSTED IN DNS Säkerhet Svammel
DISCUSSION 0 Comments
TAGS

Minecraft och öppen källkod

Min dotter har börjat spela Minecraft rätt mycket. I somras satte jag upp en Minecraft-server åt henne, och det tog rätt lång tid att sätta sig in i vad man egentligen ville köra för programvara. Företaget Mojang som gör spelet har en egen server som man kan installera och köra, men i grundutförandet så är den lite tråkig om man vill hitta på lite mer alternativa spel. Så jag installerade en programvara som heter CraftBukkit.

minecraft-pirateshipOm man klickar på länken nu får man reda på att den har utsatts för en DMCA-takedown.

Det upptäckte vi dock inte genom att surfa till CraftBukkit-projektet, utan att det helt enkelt inte gick in att logga in på servern längre. Snabbt felsöka, och upptäcka att det inte gick att hämta hem nyare versioner, då allt var nedtaget tack vare den amerikanska lagstiftningen Digital Millenium Copyright Act. Varför det inte gick att spela på servern längre var inte så lätt att förklara för en sjuåring. Så jag försökte istället hitta en annan programvara som inte tagits ner. Och alternativet tycktes vara Spigot. Sagt och gjort, en halvtimme senare kunde de logga in på servern och spela.

Idag upptäcker jag att även Spigot tagit emot en DMCA-takedown notice. Tack så mycket. Servern funkar dock fortfarande.

Allt tycks bero på att utvecklaren Wolvereness (Wesley Wolfe) bidragit med en stor mängd kod till Bukkit, och det här innebär en hel mängd licensbekymmer. Det sorgliga är att han nu skickar runt DMCA-takedowns till allt och alla. Här finns en summering av det som hänt hittills.

Återstår hoppet till att Mojang ska reda ut detta? Att det ska vara komplicerat med öppen programvara vs sluten programvara – det enklaste i det här läget är att göra all programvara för Minecraft-servrar som öppen källkod under en väldigt fri licens. Att förklara licensfrågor för en sjuåring tänker jag dock inte utsätta mig för.

04
Sep 2014
POSTED BY
DISCUSSION 0 Comments
TAGS

Jag har en ny server

Jag har haft en del strul med den server som den här bloggen ligger på. Nu har jag uppdaterat allt innehåll i den servern utom PSU:n och lådan, och därmed också virtualiserat alla tjänster. Den här bloggen var den som låg sist i kön på saker att fixa, men nu är den uppe. Jag vet dock inte om allt är fixat riktigt, men det mesta tycks funka.

På att göra-listan står givetvis att fixa certifikatet, så att åtkomst över TLS fungerar. Kan därmed också passa på att göra lite reklam för seminariet #MeraKrypto som DFRI är med och arrangerar tillsammans med ISOC-SE, SNUS och Sunet.

Att ha återupplivat bloggen kanske också gör att jag bloggar mera här. Tills vidare kan man läsa mina andra blogginlägg hos iis.se.

06
Apr 2014
POSTED BY
POSTED IN Hårdvara Linux Svammel
DISCUSSION 0 Comments
TAGS

FRA:s gamla superdator

Jag upptäckte precis att Youtube äntligen processat mitt gamla klipp från Rapports inslag om FRA:s nyinköpta superdator. Men nu är den ju några år gammal, och ligger “bara” på 67:e plats på världens snabbaste superdatorer.

12
Apr 2011
POSTED BY
DISCUSSION 0 Comments
TAGS

Topp 10 Internethändelser 2010

Nu är ju 2010 slut. Så jag tänkte sammanfatta de största Internethändelserna 2010 så som jag ser det. Jag hoppas jag kommer ihåg rätt bara. Men det här är ungefär min uppfattning:

  1. Wikileaks – ingen har väl undgått effekterna av Wikileaks. Diplomatin, politiken och näringslivet är raaaaasande! Det fria och öppna Internet som vi känner är i farozonen. Julian Assange är konstigt. Openleaks utannonseras. Det finns hur mycket stoff för journalister och allmänheten som helst att hämta här.
  2. HTML5 – växer med stormsteg. Allt fler viktiga sajter kör allt mer bitar ur HTML5. Hur ska det gå för Flash?
  3. DNSSEC-signerad root. Som vi har väntat. .SE har varit signerad i över fem år. Men det är först nu när root är signerad som vi ser storskalig utrullning.
  4. Molnet – det använder du väl? Lite? Vänta, vad är det för något? Ingen vet, men alla talar om det.
  5. DDoS – 2010 blev året då allt DDoS:ades hela tiden. Av Anonymous. Och främmande makt.
  6. App Stores. Både Apple och Google har insett det som Linux-världen har förstått i över tio år. Att man vill ha ett praktiskt sätt att installera uppgradera sin programvara. Nu väntar vi bara på vettiga paketsystem.
  7. Facebook – är större än någonsin. Och en Hollywood-film.
  8. Google Chrome – en verkligt seriös utmanare till de andra webbläsarna, Firefox, Internet Explorer och Opera. Firefox tar dock fortfarande marknadsandelar, men Chrome har vi knappt sett början på. Webbläsarkriget bara fortsätter och fortsätter, men med nya fronter.
  9. iPad – har förändrat mångas användarbeteenden. Inte minst har den förvridit huvudet på tidningsredaktioner världen över. Snart vaknar de ur Apples dröm. Se andra-platsen.
  10. Domännamnsbyten. Alla gör det. Sveriges Radio. Bloggar. En del webbsajter flyttar till och med in på Facebook. Länkrötan tar över.

Och årets icke-händelse går nog till Pirate Bay-rättegång nummer två. Same procedure as last year. Men tråkigare.

Uppdatering: Jag visste att jag skulle glömma en sak på listan. Stuxnet var ju årets säkerhetshändelse, alla kategorier. Masken som innehöll fyra 0-days, och använde stulna certifikat, och attackerade väldigt specifik mjukvara för att attackera hårdvara. Konspirationsteorierna har svämmat över på nätet. Symantec har en riktigt bra analys (pdf).

04
Jan 2011
POSTED BY
POSTED IN Svammel
DISCUSSION 2 Comments
TAGS

En kommande fragmentering av DNS

Med anledningen av att den “amerikanska regeringen” (Immigration & Customs Enforcement inom Department of Homeland Security) för snart en vecka bad Verisign peka om ett antal .com-domäner till en spärrsida liknande den som svenska ISP:er på frivillig basis implementerat mot barnpornografi, så har piratnördarna med Peter Sunde i spetsen skapat något slags initiativ för att bygga en P2P-baserad DNS-toppdomän, .p2p.

De krav (eller “mål”) som man har med detta är att få till en toppdomän där innehållet inte går att filtrera på det sätt som gjorts ovan. Men för att ta ett mål i taget, från deras wiki:

  • Undgå den “kontroll” som ICANN har idag. Ja, ICANN har inte särskilt mycket kontroll över ccTLD:er som t.ex. .se idag. De kan förstås tillsammans med NTIA ta bort .se från kartan, men det blir med största sannolikhet förhållandevis ganska komplicerade diplomatiska förhållanden mellan Sverige och USA då, samtidigt som ICANN förminskar sin egen roll genom minskat förtroende. Risken för detta är minimal. Att servera sina domäner under .com som drivs av ett amerikanskt företag har ju visat sig vara ödesdigert, men då borde slutsatsen vara att köra sina domäner under toppdomäner som har lagstiftning och myndigheter som man vet hur man uppför sig.
  • Kryptera DNS-uppslagningarna genom mekanismer i P2P-lösningen. Visst, det är ju bra. Men allt som skjuts långt bort i nätet, och bygger på någon form av realtidskrypto sänker prestandan. Nu kan man ju argumentera för att med högre säkerhet och anonymitet, så kan man offra prestanda. Nu har P2P-nät mycket sämre prestanda än DNS ändå, så oavsett vad man gör så blir uppslagningarna långsammare än vanlig DNS. Dessutom vill man inte göra särskilt mycket avancerad krypto i sådana här protokoll, eftersom detta lätt leder till DoS-attacker riktade mot den som ska validera signaturer eller dekryptera information.
  • Återanvända så mycket färdig bittorrent-kod som möjligt. Jag förstår inte varför detta ska vara ett mål, det känns som en teknikerlösning på ett teknikerproblem. Först designar man ett protokoll, sedan tittar man på om det finns färdig kod som kan lösa implementationsbiten.
  • Stöd för .p2p i alla OS och applikationer, genom “open source”. Ja, det är ju bra. Men det är inte så man designar protokoll. Man gör det genom att skriva extremt bra specifikationer som har flera oberoende implementationer, som faktiskt fungerar mellan varandra.
  • Denna uppslagningsmekanism ska inte påverka det övriga DNS-systemet, och här vill man inte betraktas som ett malware. Bra. Men svårt att undvika, eftersom vem som helst kommer att prångla ut “Phree Warez for the .p2p-domainz!1!”-applikationer, eftersom detta inte kommer att ingå som en standardkomponent i ditt operativsystem.
  • Zeroconf. Bra, men det är ju egentligen ingen protokollfråga, utan upp till den specifika applikationen att avgöra. Dessutom kan ju implementationen bara bli zeroconf i klientläge, knappast i den del som ska servera namn till .p2p-namnrymden.
  • Uppslagningsmekanismen ska vara säker och krypterad (sista punkten, end2end…). Ja, why not. DNS är ju inte krypterat idag, även om det förekommit flera förslag på hur man gör detta. Och med DNSSEC kan du vara säker på att DNS-svaren inte är manipulerade.

Min betraktelse här är att kravspecifikationen på ett nytt DNS-liknande protokoll så här långt är väldigt luddiga. Det är en massa önskemål. Men ingen information om hur man publicerar namn, vilka nycklar man ska lita på, och vem som litar på vem. (Det finns något obegripligt om web-of-trust och GPG.) Men mycket Alice and Bob blir det.

Rick Falkvinge har ökat på förvirringen genom att hävda att DNS redan är fragmenterat. Detta baserat på att man i Danmark har lagstiftat att operatörers resolvrar måste filtrera ut piratebay.org. Lösningen ovanför (vad den nu blir) kommer inte att lösa andra resolvrars DNS-filtrering. Här är lösningen givetvis att köra sin DNS-resolver själv. Men det måste man ju ändå om man ska få DNSSEC att skydda DNS-informationen hela vägen till klient-datorn. För det gör ni väl?

Jag är positiv till allt som utvecklar Internet och DNS. Men man löser inte diffusa problem med diffusa tekniska lösningar. Jag gissar att målet i förlängningen är att helt ersätta DNS, men att man vill börja med .p2p, eftersom det är något rimligare. Det är bra. Men då måste man modellera protokollet med vad DNS idag hanterar. Annars kommer det att bli något annat, och då ska man nog inte parasitera på DNS-namnrymden ens.

01
Dec 2010
POSTED BY
POSTED IN DNS Hacks Svammel
DISCUSSION 3 Comments
TAGS

Öppet brev till scenen

Man hittar mycket kul när man gräver i gamla gömmor. Men det jag hittade nyligen måste jag publicera här. Inte minst därför att det gått ganska bra för avsändarna. Det handlar om ett öppet brev till “scenen” om det dåliga med piratkopiering. Detta är publicerat i ett litet scen-fanzine i april 1992.

 

In Medias Res page 48

In Medias Res sida 48

 

Svaret från medlemmen Strider i Fairlight (inte FAGlight) följde på nästa:

In Medias Res sida 49

In Medias Res sida 49

Man kan väl sammanfatta detta med att det faktiskt gick ganska bra för Digital Illusions. Och jag tror inte att någon av ovanstående skribenter var medvetna om Bill Gates berömda brev Open Letter to Hobbyists.

Vad jag själv skrev på den här tiden hoppas jag är preskriberat.

21
Oct 2010
POSTED BY
POSTED IN OldSchool Svammel
DISCUSSION 2 Comments
TAGS

Fåniga disclaimers

Från Ben Goldacre:

READ CAREFULLY. By reading this email, you agree, on behalf of your employer, to release me from all obligations and waivers arising from any and all NON-NEGOTIATED  agreements, licenses, terms-of-service, shrinkwrap, clickwrap, browsewrap, confidentiality, non-disclosure, non-compete and acceptable use policies (“BOGUS AGREEMENTS”) that I have entered into with your employer, its partners, licensors, agents and assigns, in perpetuity, without prejudice to my ongoing rights and privileges. You further represent that you have the authority to release me from any BOGUS AGREEMENTS on behalf of your employer. If you are anything other than a friend or an institutional professional colleague and you are writing to me about Bad Science stuff then it is reasonable to assume that I might quote our discussion in my writing, usually anonymously.

15
Feb 2010
POSTED BY
POSTED IN Svammel
DISCUSSION 2 Comments
TAGS

Nostalgi-varning

Jag grävde lite i mina arkiv, och hittade detta lilla citatklipp från sommaren 1994. Den borde vara lika klassisk som Ines Uusmans Internet-fluga. Det är Kerstin Hallert som intervjuar Anitha Bondestam, dåvarande generaldirektör för Datainspektionen. Förutom nedanstående har jag förträngt helt vad artikeln i övrigt handlade om.

                När vi skiljs uppmanar hon mig att aldrig
                någonsin köpa ett modem till barn.
                - Ungarna vill bara ta sig in i andra
                datasystem. Vi ska inte uppmuntra hackers.
                Tro mig, det är vad modemem står för.
                Eller som vi säger på datainspektionen:
                Köper du modem skaffar du problem.
23
Oct 2009
POSTED BY
DISCUSSION 5 Comments
TAGS

Kalla mig inte bloggare

Jag vägrar att sorteras in i samlingsnamnet “bloggare”. Det finns ett antal anledningar. Den främsta är dock att det faktum att jag ibland skriver ett blogginlägg definierar inte mig som bloggare. Precis som att jag ibland springer till tunnelbanan inte gör mig till en löpare. En annan enklare anledning till att jag motsätter mig begreppet bloggare är att man lätt klumpas ihop till någon sorts aktivist mot gammelmedia, eller vad som råkar vara på tapeten just den här veckan. Jag har publicerat mig själv på nätet sedan 1994 eller något åt det hållet – formatet har dock varierat. Först var det förmodligen i nyhetsgrupper och e-postlistor, därefter HTML. Just nu råkar det vara i bloggformatet, dvs en WordPress som råkar ha kommentarer påslagna och RSS/Atom-flöden. Det faktum att jag ibland bloggar gör inte att jag tror att jag har nån slags makt heller. Trots det har faktiskt några av mina blogginlägg gjort avtryck i svensk gammelmedia.

Jag har precis läst igenom Alex Schulmans essä i DN. Den handlar om att Alex inte tycker att bloggarna sätter agendan för gammelmedia. Och visst är det så. Men det är svårt att undvika det faktum att bloggare (som i folk som bloggar sina åsikter) faktiskt gör sig påminda även i gammelmedia i allt större omfattning.

Schulman sammanfattar sin drapa med att alla bloggare är unga modebloggande tjejer. Oroligt jag vände mig genast till min Google Reader för att dubbelkolla att de 426(!) bloggar jag följer inte är fyllda med modefoton. Nä, puh, det var det vanliga innehållet fortfarande. En stor bunt musikbloggar (vem läser musikrecensioner i tidningen längre!?), massor av teknik och internetbloggar, bloggar om säkerhet, nätverk, programmering, fotografering, open source och upphovsrätt, arkitektur och en mängd andra spännande ämnen. Allt skrivet på engelska, tyska och svenska.

Schulman driver tesen att det bara är fem procent av Sveriges befolkning som läser bloggar. Det är möjligt att det är så. Eller så är det bara fem procent som är medvetna om att det är bloggar de läser. Vidare undrar jag vilka dessa fem procent är. Är det möjligtvis väldigt många av dessa är det man förr i tiden kallade intellektuella? Om det är så är det självklart att (det förhatliga ordet) bloggosfären (intellektuellosfären, debattörer, mediafolk, …) är en maktfaktor. Om jag vore driven till att försöka förlöjliga gammelmedia skulle jag sätta mig ner några veckor och rejält titta på krönike-formatet. Ni vet, de där långa spalterna som gammelmedia försöker få någon stackars skribent att för under tusenlappen skriva något snabbt och relevant. Så mycket varmluft som finns där vore det komiskt att kalla krönikörer för en maktfaktor också. Emellertid finns det alltid undantag, både där och bland bloggare. Men att förlöjliga en hel grupp på det sätt Alex gör är väldigt märkligt.

Sedan vill också Schulman få det att framstå som att det främsta skälet till att gammelmedia (under benämningen chefredaktörer) bryr sig om ny teknik är att de annars skulle framstå som de gammelmedia de i grunden är. Sorry Alex, den främsta anledningen är att gammelmedia tappar läsare på papper. Och utvecklar de inte tekniken och dialogen med läsarna så kommer de att fortsätta tappa sina läsare. Det är ingen slump att företaget Twingly blivit insläppta på så gott som alla svenska gammelmedia-sajter för att öppna upp för bloggare – och anledningen är inte att chefredaktörerna är teknikfientliga.

De traditionella medierna trippar på tå runt bloggosfären. De lägger sig på rygg och visar strupen. I rädsla för att stöta sig säger ingen sanningen – att den svenska bloggosfären både är rakt igenom ointressant och fullständigt betydelselös.

Ja, hur bemöter man det? Tur att man har Alex som sanningssägare. För en tusenlapp är det väl också den här typen av sanningar man får.

04
Jul 2009
POSTED BY
POSTED IN Journalister Svammel
DISCUSSION 8 Comments
TAGS

I vilken ruta befinner sig din IT-avdelning?

Inspirerad av en diskussion på en e-postlista ritade jag den här bilden. Vem vill egentligen ha en IT-avdelning som befinner sig i nedre vänstra hörnet?

04
Jun 2009
POSTED BY
POSTED IN Svammel
DISCUSSION 3 Comments
TAGS