Category Archives: Privacy

How to walk DNSSEC Zones: dnsrecon

After the implementation of DNS and DNSSEC (see the last posts) it is good to do some reconnaissance attacks against the own DNS servers. Especially to see the NSEC or NSEC3 differences, i.e., whether zone walking (enumeration) is feasible or not.

For many different kinds of DNS reconnaissance the tool dnsrecon can be used. In this post I will focus on the -z  option which is used for DNSSEC zone walking, i.e., walk leaf by leaf of the whole DNS zone.

Continue reading How to walk DNSSEC Zones: dnsrecon

DNSSEC with NSEC3

By default DNSSEC uses the next secure (NSEC) resource record “to provide authenticated denial of existence for DNS data”, RFC 4034. This feature creates a complete chain of all resource records of a complete zone. While it has its usage to prove that no entry exists between two other entries, it can be used to “walk” through a complete zone, known as zone enumeration. That is: an attacker can easily gather all information about a complete zone by just using the designed features of DNSSEC.

For this reason NSEC3 was introduced: It constructs a chain of hashed and not of plain text resource records (RFC 5155). With NSEC3 enabled it is not feasible anymore to enumerate the zone. The standard uses a hash function and adds the NSEC3PARAM resource record to the zone which provides some details such as the salt.

Continue reading DNSSEC with NSEC3

“IPv6-Präfixe würfeln” – Was soll das?

Seit Monaten sieht man auf heise online an der rechten Seite den Link zu einem Artikel namens “IPv6-Präfixe würfeln“. Dabei geht es darum, OpenWRT einen Teil des IPv6-Präfixes innerhalb gewisser Zeitspannen würfeln zu lassen, damit normale IPv6-Clients nicht nur die Interface-ID der Adresse per Privacy Extensions regelmäßig ändern, sondern auch die Subnetz-ID. Da diese Idee aber so gar keinen Vorteil für den Datenschutz mit sich bringt, möchte ich hier mal etwas dazu schreiben.

Continue reading “IPv6-Präfixe würfeln” – Was soll das?

Threema: Zwei Hinweise

Nach wie vor empfehle ich Threema, wenn es um einen sicheren, also Ende-zu-Ende verschlüsselten, Austausch von Nachrichten, Fotos, usw. geht.

Threema hat allerdings zwei Besonderheiten, die andere Chat Programme nicht haben: Eine Art Punktesystem als Wertung der Authentizität des Gesprächspartners, und die Notwendigkeit, ein Backup seiner ID zu machen, wenn man das Handy einmal wechseln möchte. Beide Sachen haben ihren Ursprung in der Kryptographie und sind daher nicht gerade einleuchtend für den Otto Normalverbraucher. Daher hier ein paar Worte dazu:

Continue reading Threema: Zwei Hinweise

Sicheres WLAN: Was wirklich etwas bringt

Vor ein paar Tagen wurde ich über Twitter auf einen Artikel aufmerksam, der sich “Fünf Tipps für ein sicheres WLAN” nennt. Cool, so dachte ich, denn schließlich ist das eine oft gestellte Frage, wie man denn sein heimisches WLAN so absichern soll. Leider musste ich schnell feststellen, dass drei von den Tipps einfach falsch sind, da sie keine Relevanz für ein “sicheres WLAN” haben. Einer davon hat obendrein einen gegenteiligen Effekt, indem er sogar mehr über das eigene WLAN preis gibt, als ohne. Oh man! Ich verstehe nicht, wieso auch heute noch falsche Tipps fürs WLAN gegeben werden, wobei die Profis, die solche Artikel schreiben, es eigentlich besser wissen müssten.

Hier daher eine Auflistung der Tipps, die wirklich etwas bringen. Ergänzend natürlich auch die Begründung, wieso die anderen nichts bringen.

[UPDATE 2023: Bei einem Check der kaputten Links auf meinem Blog stellte ich fest, dass der ursprüngliche Artikel gar nicht mehr vorhanden ist. Dafür gibt es auf der gleichen Homepage einen neueren Artikel mit einem ähnlichen Titel: “Drei Tipps für ein sicheres WLAN“. Man sieht direkt, dass die Anzahl der Tipps von fünf auf drei reduziert wurde. ;) Auch kann man attestieren, dass die dort gelisteten Tipps zumindest keinen absoluten Nonsense mehr sind. Immerhin. Das dort erwähnte “wechselnde Passwörter” ist trotzdem Quatsch.]

Continue reading Sicheres WLAN: Was wirklich etwas bringt

WhatsApp Alternativen: Worauf man Wert legen sollte

Seit ein paar Tagen wird viel über WhatsApp und die Übernahme durch Facebook berichtet. Wem seine Privatsphäre noch etwas wert ist, der freut sich wenig über diese Nachrichten der Datenkrake. Ebenso schnell wurden mehrere Alternativen zu WhatsApp aufgezeigt, die teilweise sogar “kostenlos” sind und genau die gleichen Funktionalitäten wie WhatsApp haben sollen. Da es aber wenig Sinn macht, aus Datenschutzgründen von WhatsApp zu einem anderen kostenlosen Anbieter mit kaum besserer Privatsphäre zu wechseln, möchte ich hier kurz den Nutzen einer Ende-zu-Ende Verschlüsselung, die unter anderem Threema umsetzt, erläutern.

Continue reading WhatsApp Alternativen: Worauf man Wert legen sollte

Why NAT has nothing to do with Security!

During my job I am frequently discussing with people why they use NAT or why they believe that NAT adds any security to their networks, mainly some obscurity as NAT (PAT) hides the internal network structure. However, NAT does not add any real security to a network while it breaks almost any good concepts of a structured network design. To emphasize this thesis, here is a discussion:

Continue reading Why NAT has nothing to do with Security!