DJVG goes Asia: Part Deux plus un

Zijn jullie allemaal weer bijgekomen na het verlies van Douwe Bob op het songfestival? Mooi, want dan is het nu tijd voor echt belangrijke zaken.

Na Singapore is het de beurt aan China!

Oktober 2015 was ik in Singapore en dat smaakte voor mij naar meer. Zoals ik al eerder uit de doeken heb gedaan vind ik Aziatische landen helemaal te gravy (iedereen die weet waar deze uitspraak vandaan komt +1 voor jou) en aangezien het tussen mij en mijn vriend nog steeds prima gaat heb ik besloten om mijn lazy ass in het vliegtuig naar China te duwen en daar voor 2 weken de boel te gaan verkennen en cultuur op te snuiven. Lees verder

Here’s why you should upgrade to Exim 4.87 NOW!

Hello folks,

For XISA we’re using Exim to move mail around (internally and external) and this works perfect but the main issue we always had is how to log information about incoming and outgoing emails and their sizes. The popular webhosting control panel DirectAdmin uses a Perl script to log this information and while this works fine it’s not Exim native, behavior can change in the future and the Perl function is not that safe. This is why I wanted to build this into Exim using the MySQL lookup functionality. Because this is not possible with Exim < 4.86 we had to use some kind of “hack” to make this work:

$ XISA exim.conf – Daan (BH 2014 version)
# Hack to add usage information.
headers_add = ${if eq {${lookup mysql{<insert query here>}}{} {}{}}

We’re abusing expanded string headers_add to add information to our database, and this is working but I just hate it, it’s not the proper way to do this.

Nice: Exim 4.87 released

With the release of Exim 4.87 this problem has been solved: Events. And this is just perfect, finally you can perform actions on specific behavior the right way:

$ XISA exim.conf – Daan
event_action = ${if eq {msg:delivery}{$event_name}{${lookup mysql{<insert query here>}}}{}}

And with the new events functionality we can log even more information for our users really easy: show them which e-mails have been delivered and which not (of course we still send NDR’s) and why.

Great work Exim dev team! This is a very nice feature and we will use it a lot.

Bye,
DJVG

Amstelveen.nl: Beveiliging? Ha! Op je muil, gauw.

Goedemorgen allemaal,

Ik dacht, ik zal weer eens wat schrijven en vandaag wil ik het graag hebben over de beveilging van overheid websites en “Amstelveen.nl” in dit specifieke geval.

Zoals iedereen weet is overheid en beveiliging altijd (negatief) in het nieuws en daardoor verbaasd het mij toch weer dat als ik voor de grap eens amstelveen.nl test er toch wel zorgwekkende feiten naar boven komen.

Laten we beginnen bij het begin. Het certificaat voor www.amstelveen.nl is uitgegeven door KPN die weer ondertekend is door “Staat der Nederlanden”. Deze root CA is uitgegeven op 26 maart 2008. Meer informatie over het moment van uitgeven vind je hier en meer informatie over PKIoverheid hier.

Tot zover eigenlijk niks aan de hand, PKIoverheid wordt gebruikt voor het uitgeven van certificaten die toch aan strenge eisen moeten voldoen. Deze certificaten worden tenslotte gebruikt voor het uitwisselen van informatie uit de GBA (tegenwoordig BRP) maar een ander voordeel volgens PKIoverheid is “Eén digitaal certificaat voor meerdere voorzieningen.”  wat ze daar ook mee bedoelen. Al ze daarmee bedoelen dezelfde PK delen voor meerdere diensten krab ik toch achter mijn oren…

Maar oke oke, deze certificaten zijn “Gebaseerd op Nederlandse wet- en regelgeving en Europese standaarden.“, dus super veilig en gecontroleerd, het gaat om onze persoonlijke informatie nogmaals. Dan is het toch wel jammer dat er geen geld was voor een geldig SSL certificaat is voor https://amstelveen.nl, maar alleen voor https://www.amstelveen.nl. Nouja dat zal wel niet veel uitmaken want als je naar amstelveen.nl of www.amstelveen.nl gaat wordt je toch niet doorgestuurd naar de beveiligde omgeving.

Laten we eens kijken wat we kunnen vinden, om te beginnen enforced www.amstelveen.nl geen HSTS, voor websites als die van een overheidsorgaan zou dat toch wel verplicht moeten worden. Daarbij gebruiken ze een zwakke DH 1024 publieke sleutel, ondersteunen ze enkel TLS 1.0 (geen SSL v2 of 3, heel goed hoor. Thumbs up), een RC4 cipher (TLS_RSA_WITH_RC4_128_SHA) staat aan en van “Forward Secrecy” hebben ze ook nog niet gehoord.

Nou, dit zorgt misschien niet meteen voor een acuut lek, maar echt super goed is dit nou ook weer niet Gemeente Amstelveen… ik zeg nogmaals: persoonsgegevens.

Nou eens even verder browsen over www.amstelveen, ah een contact pagina, geserveerd en gePOST over HTTP. Alles wat je in dat formuliet intikt kan dus worden onderschept en worden aangepast. Je kan inloggen met DigiD en na het inloggen wordt je ook via HTTPS teruggestuurd naar de contact pagina, maar je kan je DigiD sessie prima via HTTP openen  en gebruiken, iemand met kwade bedoelingen zou dus ook je DigiD informatie via de www.amstelveen.nl website kunnen onderscheppen:

Nu is een contact formulier niet het ergste wat er bestaat al kan je op deze manier natruurlijk wel uit naam van iemand anders meldingen doen e.d, het enige wat je nodig hebt is een DigiD sessie.

Maar het kan blijkbaar nog erger, de gemeente heeft blijkbaar ook geen moeite om je BSN, geboorte datum e.d. weer te geven op een pagina om toegang tot je gegevens te laten beperken. I see what you did there Gemeente Amstelveen,.,,,:

En hier is het punt waar ik er beetje moeite begin te krijgen met dit hele verhaal. Een overheidswebsite zou altijd SSL moeten gebruiken, no matter what. Het is mij niet gelukt om ook maar 1 pagina te vinden die HTTPS verplicht. Technieken als HSTS moeten worden gebruikt en server side moet de SSL beveiliging op orde zijn. Daarbij vind ik het zeer slecht dat de overheid certficiaten mag uitgeven en de PKI mag beheren, de overheid is in mijn ogen niet de instantie die over zichzelf mag oordelen.. wij van WC eend adviseren…

Ik heb weinig en geen kennis over de achtergrond van DigiD, maar het feit dat dergelijke gegevens uit DigiD gehaald mogen worden zonder dat het wordt weergegeven over HTTPS lijkt me niet correct, als iemand daar meer informatie over heeft hoor ik het graag.

Dat was het voor nu weer even, wie weet dat ik er nog een keer dieper op in duik!

DJVG

DJVG goes Asia: Part Deux

Part deux?

Jazeker, iedereen die mij kent weet dat ik 5 jaar geleden ook in deze regionen ben geweest, toen Tokio, Japan. Voor meer info verwijs ik graag hierheen.

2015: Singapore

Dit jaar ben ik helemaal alleen afgereisd naar het hete Singapore, vele van u zouden nu graag willen weten waarom, daarvoor moeten we terug naar 4 mei van dit jaar.

Toen ik eerder dit jaar van werkgever switchde heb ik 3 maanden in Eindhoven gewoond, aangezien ik daar weinig mensen kende was ik aangewezen op de lokaal aanwezige inwoners. Toen ik er nog geen week woonde leerde ik via via een hele leuke jongen kennen, het enige “nadeel”? Hij studeert in Singapore en was i.v.m. een uitwisselings project aan het studeren op de TU/e. Lees verder

Ford Fiesta, ehhh??

Goedemorgen allemaal,

Gister toen ik na een storing naar huis reed (en eerder al problemen had met starten, uitvallende motor, oliedruk problemen) ontstond er een probleem wat ik wel eerder had meegemaakt maar nog niet op deze manier.

Een tijd geleden probeerde ik te remmen voor een uitwijkende vrachtwagen en toen deden mijn remmen het helemaal niet, gister deed voor mijn gevoel alleen de rechter remmen het, met het onderstaande tot gevolg.

Ben benieuwd wat Ford er nu weer over gaat zeggen…of zoals altijd: we kunnen niks vinden.

Daan

Factory default Brocade

Hier op werk krijg ik regelmatig te maken met Brocade apparatuur die een nieuwe functie krijgt (bijv de FLS, ICX of ADX serie).
Uiteraard willen we deze apparatuur gaan gebruiken zonder oude config maar het in 1 keer verwijderen van alle regels is niet makkelijk te doen.

Bij deze dus de tip van Daan voor het clearen van je startup-config.
Reload je device (ik ga uit van een normale configuratie zonder gekke flashes), ram direct op b om in de boot monitor te komen en voer de volgende cmd’s uit (dikgedrukt):

ServerIron Boot Code Version 12.4.0

Enter 'a' to stop at memory test
Enter 'b' to stop at boot monitor
***** Interrupted by entering 'b' *****

BOOT INFO: load monitor from boot flash, cksum = de6f
BOOT INFO: verify flash files.......
Monitor> TSEC 0: 1000 BASE-T
BP GE 0 Link Up

Monitor> del startup-config
Monitor> del ssh.keys
Monitor> boot system flash primary
......
[..boot info..]
Active management module:
 1499 MHz Power PC processor (SVR 2.1, PVR 8021/0030) 599 MHz bus
 512 KB Boot flash
 131072 KB Code flash
 2048 MB DRAM
The system uptime is 38 seconds
The system started at 09:37:03, GMT+00, Thu Oct 23 2014

The system - boot source: primary, mode: warm start, soft reset, total resets:1
ServerIronADX 1000>

En tadaa, hele lege config. Kan je weer fris van start!

– Daan

Waarom ontvang ik nog steeds spam van de ABN?

Goedemiddag allemaal,

Al een tijdje heb ik het probleem dat spam wordt verstuurd namens “noreply@abn.nl” gewoon in mijn Postvak In verschijnt, het strakker zetten van spamfilter lijkt niet te werken en zorgt ervoor dat teveel legitieme e-mail ook als spam wordt gezien, het compleet blokkeren van abn.nl vind ik geen oplossing (hallo…klant hier..??).

Aangezien het nu zaterdag is heb ik me eens verdiept in hoe het komt dat de e-mail als legitiem wordt gezien en bij deze dan ook een interessante conclusie…

Lees verder