Paper Review: Session ID Brute Force Exploitation

Durch einen glücklichen Zufall bin ich auf das Papier von David Endler, iDEFENSE, "Brute Force Exploitation of Web Application Session IDs" aus dem Jahre 2001 gestoßen. Ja, ist nicht wirklich up-to-date, aber das Whitepaper is trotzdem sehr zu empfehlen. Was das ganze vielleicht noch ein wenig interessanter gemacht hätte, wäre eine genauere Untersuchung der Erstellung von SessionIDs in den verschiedenen Webservern. Am Ende wird lediglich die IIS Methodik vorgestellt.

Aber es wird wieder mal gezeigt, was man mit fieser Enumeration und schwachen Session IDs so anstellen kann. Worüber ich mich allerdings ein wenig gewundert habe, waren die Angaben des Autors über entsprechende Brute-Force Scripte die er sich bastelte. Ich weiss ja nicht wirklich ob das so löblich ist, die auf normale Seiten loszulassen. :D Sämtliche Perlscripte findet man im Appendix des Papers.

Paper Review: There is No Free Phish: An Analysis of “Free” and Live Phishing Kits

Ich hab mir letzte Nacht mal dieses Paper reingezogen, da das ja anscheinend auf der gerade laufenden w00t veröffentlicht wird. Nunja, wie aus diversen Blogeinträgen schon erkenntlich, bringt das Paper für Leute die ein wenig die "Szene" beobachten, nicht wirklich neuen Content. Phisher sind in der Regel eben Trottel, die sich selbst und jeden anderen nach Strich und Faden bescheissen.

"If the server allows the listing of directory contents, it is possible to locate and download the kit."

Darf man nicht pauschalisieren! Wenn man uptodate mit den gängigen Kits ist, weiss man auch ohne directory-listing bereits worum es sich handelt und wie man an die sources kommt. Die meisten kits sind ziemlich "poorly written".

Interessant dahingegen waren für mich die Auswertungen von PhishTank. Von rund 15,000 downgeloadeten Seiten waren nach weitern Evaluierungen lediglich 12,000 brauchbar. Es sei hier angemerkt, dass PhishTank eine eigene API anbietet, die das ziehen der Einträge recht einfach macht.
Naja, alles in allem ein ganz nettes Paper was einem nen netten Überblick verschafft, den Durchbruch schlechthin darf man jetzt aber nicht erwarten.

citizenengineer.com

Die fleissigen Verfolger der HOPE kennen die Seite von Citizen Engineer bestimmt schon.
Allen anderen kann ich die erste Serie nur wärmstens empfehlen. Was is das?

Citizen Engineer is an online video series about open source hardware, electronics, art and hacking by Limor (Ladyada) Fried of Adafruit Industries & Phillip (pt) Torrone of MAKE magazine. The first video debuted at "The Last HOPE" conference in New York City.

Die Modifikation des Western Electric payphones is sehr geil! Kann ich nur empfehlen sich das mal anzuschauen.

Irgendwie hat mich das an "alte" Zeiten erinnert und ich hab mal tief im Archiv gegraben und das Bild links gefunden. Aufgenommen 2002 irgendwo in der Westbank.

Neuer PGP Key

Ich besitze einen neuen PGP Key. Dies bedeutet aber nicht dass der alte kompromittiert wurde, im Gegenteil. Allerdings komm ich an ihn zur Zeit schlecht "ran". :D Alles eine komische Story, aber egal.

Fakt ist, ich hab nen neuen. Runterladen könnt Ihr den unter www.code-foundation.de.

Der Fingerabdruck lautet:
7A35 B3F5 40C8 775A AC10 E617 C839 3557 D572 92BD
Key ID:
0xD57292BD

Auf Keyservern wird der wahrscheinlich nicht verfügbar sein, da ich meist nur mit wenigen, ausgewählten Leuten verschlüsselt kommuniziere. Noch ist es nicht soweit, dass die breite Masse PGP benutzt ... leider.

Spanische Kiosk-PCs H4xx0ring?

Gestern Nacht bin ich durch Zufall auf auf eine Internet-Station in einer Bank gestoßen, die 24-7 offen ist. Das is im Prinzip nen ganz nettes Feature, allerdings weiss ich nicht wer sowas jemals benutzt hat.
Also man steckt seine normale Bankkarte ein und kann dann dafür im Internet surfen ... zu entsprechenden Tarifen. Ich bin mir eigentlich sicher, dass es sowas in der Art auch in Deutschland gibt oder?

Nunja, ich musste mich spotan beim Anblick der Fehlermeldung weiter unten an Jonny's Buch erinnern in welchem er auch diese besagten "Surfstations" oder "Kiosk-PCs" anspricht bzw. die Problematik dieser Geräte.

Auf diesem Gerät rennt Windows Prof. und ein Anmeldescreen. Eigentlich alles nix weiter schlimm, nur dachte ich mir, es wäre interessant einen Blick hinter die Kulissen zu werfen.

Sorry für die hässlichen Bilder, aber mehr gibt die tolle Handycam nicht her. Oben recht gut zu sehen ist das Stromkabel für die Kiste. Darunter das RJ45 Kabel mit einer Art Adapter ... hab ich mir nicht genauer angeschaut. Die wichtigste Erkenntnis war doch, dass anscheinend ein normales Ethernetkabel reicht.
Natürlich hab ich zu keinem Zeitpunkt darüber nachgedacht, meine eigene Kiste dort mal anzustecken, da dies wahrscheinlich eine Straftat wäre.
Allerdings ist es doch nett zu spekulieren:
Was kommt nach dem Kabel? Router? LAN mit DHCP?
Das Gerät steht genau neben Bank ATMs und anderen Bankgeräten. Vielleicht alle am gleichen Router? *g*
Selbst wenn das Gerät ne statische IP im LAN hätte, könnte man doch als normaler Nutzer dank JavaScript und diversen Java Applets ohne weitere Probleme an die interne, lokale IP kommen.

Ich denke, man der eigenen Fantasie freien Lauf lassen was das weitere Innenleben angeht. Ich wollte mit diesem Post nur an den vergangenen Post bzgl. spanischer IT-Sicherheit anknüpfen.

Don Kalle hat wieder zugeschlagen!

Wenn die Jungs hier in San Sebastian nichts mit der Zeit anzufangen wissen, kommen manchmal recht konfuse Dinge raus.
In diesem Video zeigt der Kalle mal wieder seine geballte Videospot-skills - mit freundlicher Unterstützung seines Schweizer Kollegen.

Book Review: No-Tech-Hacking

Ich habs getan! Ich habs gelesen ... obwohl ichs echt ewig rausgezögert hab, hab ichs nun durch.
Johnny Long ist ja der Mann auf dem Gebiet, allerdings darf man von dem Buch nicht zuviel erwarten. Es wird ein netter Überblick über verschiedene Möglichkeiten des Social Engineerings gegeben, allerdings is nix dabei was einen wirklich vom Hocker hauen wird.
Ich glaube, dass Mr. Long solche Stories definitiv auf Lager hätte, er allerdings NDA-technisch ein wenig gebunden sein wird und sich wie manch anderer ständig in einer "Grauzone" zwischen legal und illegal befindet.
Also, am besten lesen wenn man sich für die Thematik "No Tech Hacking - Social Engineering" interessiert und man sich mal einen Überblick über dumpster diving, shoulder surfing, tailgaiting etc verschaffen will.
Aber nicht die monster Stories erwarten ...

Zu kaufen gibts das Gerät hier: amazon.com

Finjan’s Web Security Trends Report

Ich hab mir gestern Nacht mal den Trend-Report für Q2 2008 reingezogen. Recht interessant aber nicht umbedingt brandneu sind die "Camorra" Abbildungen wo dargestellt wird, wie die Informationsprozesse bei den bösen Jungs ablaufen.
Wie gesagt, alles nichts Neues imho, aber nett aufgezeigt. Erwähnenswert wäre vielleicht noch die ZeuS-Trojan Beschreibung.
Zu finden is das ganze Gerät hier.

Die Spanier sind auch nicht anders - in Bezug auf IT-Sicherheit

Im Prinzip ist es ziemlich zum Kotzen. Ich habe jüngst erst die Untersuchung einer Webpräsenz eines "Kunden" abgeschlossen, bei dem es sich um eine spanische Bank mittlerer Größe handelte.
Was da so an den Tag kam hat mich doch recht geschockt. Da kann man den deutschen mittelständischen Banken eigentlich nur auf die Schulter klopfen und sagen "immerhin habt ihr schonmal TAN Listen und Ihr wisst auch was XSS ist oder ne Null-Byte Injection".

Mal ganz abgesehen von den programmiertechnischen Schwachstellen, gab es bei der Sache hier große Probleme mit der Logik. Anscheinend kapiert man hier noch nicht, warum TAN-Listen eine gewisse Sicherheitsverbesserung gegenüber einer 9-stelligen Nummer bieten.
Das heisst also, man braucht als Kunde lediglich username, password und die 9-stellige Nummer. Bei einer Überweisung wird der Kunde dann beispielsweise nach 3., 4. und 8. Ziffer gefragt.
In meinen Augen in Bezug auf Sicherheit total sinnfrei. Des weiteren sollte man anmerken, dass manche Banken hier lediglich ein 4-stelliges Passwort ausstellen - welches man auch noch ändern kann. Als username kann man zudem die Passnummer angeben .... omfg sag ich da nur.

Ich kann als Onkel Herbert mir also einfach meine Passnummer merken und als Passwort mir die Folge "1111" einstellen. Die 9-stellige Nummer lässt sich auch ändern. Die wähle ich dann "222222222".

Aber nicht genug davon:
Man verschickt hier auch liebend gerne Mails mit Direktlinks. Das heisst, am Ende des Monats kriegt jeder nette Kunde eine Mail von der Bank mit einem individuellen Direktlink. www.deinebank.foo/id.foo?id=1234&ran=1234.
Zwar packen die neben einer ID noch einen 32-Zeichen random Wert mit rein, wahrscheinlich nen hash von irgendwas, aber alleine die Tatsache, dass ich lediglich den Link klicken muss und Zugriff auf die komplette Kontenübersicht eines Monats zu bekommen, ist entsetzlich.

Alles in allem ein riesen Fiasko und wenn man dann noch zusätzlich auf ignorante, arrogante Sicherheitszuständige trifft, die lediglich ihre eigene Inkompetenz überdecken wollen ... na dann hat man eigentlich auch keine Lust mehr.
Willkommen im Leben ...

Barclay Nutzer frei von "online fraud"?

Also das stinkt doch gewaltig wieder nach snake oil.
Die teilweise sehr gehypte "two-factor authentication" steckt das Sicherheitsniveau zwar höher ab, aber bedeutet nach wie keine totale Sicherheit.

But the use of two-factor systems has received critics in the past few months after it emerged that the devices could be easily hacked. And the fact that a number of retail banks including Lloyds TSB, Royal Bank of Scotland and Nationwide are offering the different readers could signal impracticality.

Mal ganz abgesehen von Inpraktikabilität ... die bösen Jungs wissen wie man sowas umgeht. Die Holländer haben das schon am eigenen Leib erfahren müssen.
Daher, liebe "Barclayaner" ... sollte man solche Pressemeldungen doch lieber lassen.

Whitfield-Diffie verteilt signiertes Buch an 1000sten Studenten

Whitfield-Diffie verteilt signiertes Buch an 1000sten Studenten des Information Security Masters an der RHUL. Nette Sache, vielleicht sollte man solche Promotionakts bei uns an der RUB auch mal einführen? :D

Geile Security Icons

Nen Kollege ist durch Zufall auf folgende brasilianische Domain gestoßen, die echt nette Icons zur Verfügung stellt: http://www.antispam.br/glossario/
Einfach mal auschecken ... lohnt sich. Mein Favourit seht ihr links. :D
Die Videos sind auch recht amüsant ...

Reviewer gesucht - Watermarking Framework

Kurz in eigener Sache:
Ich habs bereits an ein paar Leute geschickt deren Emailadressen mir so direkt ins Gesicht sprangen, allerdings bräuchte ich noch ein paar mehr hilfreiche Comments zu nem Papier.
Also falls noch jemand Interesse hat, eine Papier über "A Framework for Digital Watermarking Next Generation Media Broadcasts" zu lesen und ein paar hilfreiche Comments abzugeben, bitte per Mail bei mir melden. Email gibts hier.
Leider lässt sich das Papier derzeit aus "politischen" Gründen nicht im großen Stil hier veröffentlichen.

Ich will noch meinen speziellen Dank an Fippo aussprechen, der es geschafft hat mich mit seinen PKI comments total zu verwirren und zu verunsichern. :D
Anyway, danke für die comments, waren allesamt sehr hilfreich. Vielleicht find ich auch mal Zeit Deinen XMPP Rammsch zu lesen. :-)

Pwnie Awards 2008

Neben diesem ganzen DNS Geblubber was grad die Szene flutet, vergessen die meisten, dass die Pwnie Awards 2008 nun raus sind, besser gesagt die Nominierungen.
Wenn sich jetzt der ein oder andere fragt, was das eigentlich ist ...

An annual awards ceremony celebrating and making fun of the achievements and failures of security researchers and the wider security community.

Und wer hätte es gedacht, auch Kaminsky mit dem DNS flaw hype ist nominiert. :D

Für mich definitiv einer der Spitzenkandidaten in der Kategorie "lamest vendor" ist McAfee mit ihrem "hacker safe certificate" Programm. Also so nen Blödsinn hat die Welt ja seit langem nicht mehr zu sehen bekommen. Und anstatt zu versuchen, es nicht nur gut zu verkaufen sondern vielleicht auch ein bisschen richtig zu machen ... leisten sie die Jungs und Mädels von McAfee ein Ding nach dem anderen. Auch wenn jetzt manche meckern mögen, es seien doch lediglich kleine XSS Lücken ... dann dürften die jüngsten Ereignisse mit der SEO IFrame Problematik gezeigt haben, dass die Zeiten der "kleinen" nicht-persistenten Lücken zumindest für Großunternehmen vorbei ist. Und wer sonst leistet sich son "hacker safe certificate"?
Ganz zu schweigen davon, dass das komische Programm nicht das einhält, was es eigentlich sollte.

Facebook verklagt StudiVZ - wurde aber auch Zeit

Anscheinend derzeit in aller Munde, dieses Thema.
Mich wundert da eigentlich nix mehr. Für mich war das schon damals ... jaaa damals ... nicht verständlich, wie ein Laden mit so einer erbärmlichen Kopiererei durchkommt.
Ich mein, die Beweise waren ja schlichtweg erschlagend und sie sind es bis heute. Nur mittlerweile kann sich das Holtzbrinckbaby ja immerhin ein paar Hiwis leisten, die bissle HTML und CSS auf der Uni gelernt haben.

Ich drücke den Jungs von Facebook alle Daumen!

Komplexitätstheorie VS Real Life - Strange Gedankengänge

In der Komplexitätstheorie ist es ja bekanntlich ausreichend ein Beispiel aufzuzeigen, dass ein Problem "leicht" zu lösen ist. Dagegen ist der Beweis eines "harten" Problems sehr viel schwieriger. Man muss zeigen, dass praktisch kein Algorithmus existiert oder existieren kann, der das Problem löst. Klingt einfach - isses aber net.

Nunja, wie ist das nun in der Praxis im realen Leben?
Wenn wir im täglichen Leben einem Problem gegenüberstehen, wie können wir dann feststellen ob das Problem "hart" oder "leicht" ist?
Eigentlich ist es doch genau wie in der Komplexitätstheorie. Probleme für die wir eine Lösung finden, deklarieren wir als "leicht". Probleme die wir nicht lösen können, deklarieren wir als "hart", wobei wir hierfür keinen Beweis aufbringen können. Wir können nicht zeigen, dass das Problem "hart" ist, nur weil wir auf den ersten Ansatz keine Lösung finden.
Wir haben dadurch noch lange nicht bewiesen, dass kein Lösungsalgo existiert oder existieren kann.

Des weiteren, wie sieht es mit der Reduzierbarkeit aus? Wie reduziert man ein Problem in der realen Welt auf ein anderes?

Ein kleiner Denkanstoß:
Der Herrgott im Himmel ist meiner Meinung nach komplexitätstheoretisch eine "harte" Identität - wir können nicht beweisen, dass es den Kollegen da oben nicht gibt.

Kluge Sprüche aus einem Papier welches ich zur Zeit lese:
Die Laufzeit eines Algos hängt für gewöhnlich von der Größe des Inputs ab. Zudem hängt die Schwierigkeit eines Problems möglicherweise von der Codierung des Inputs ab.
Ein Algo ist nur praktikabel, wenn er in polynomieller Zeit lösbar ist ... und auch wirklich nur dann.

In diesem Sinn ... seid fleissig. :D

The last HOPE - die letzte ...

Dieses WE isses soweit! Die letzte HOPE findet in NYC statt und alle Glücklichen, die dort hinfahren, werden wohl ein einschlägiges Erlebnis in Sachen Hackerconfs erfahren.
In der Szene giert man bereits nach dem Beginn dieser Veranstaltung, wie sehr schön hier zu sehen ist (Twitter-feed).
Eine übersichtliche Auflistung der Talks gibts hier. Was zudem noch als nettes Feature released wurde, ist ein THE LAST HOPE Picking-Set welches man sich hier anschauen kann.

Ich freu mich bereits jetzt über die Beiträge, die es hoffentlich inkl. Videos anschließend zum Download geben wird (!?).

RUB Studiengebühren werden gesenkt! Großes Kino! Dafür mehr IT-Sicherheit?

Wie in einer aktuellen Pressemitteilung der RUB uns Studentenpack mitgeteilt wird, werden die Studiengebühren um rund 20,- sagenhafte Euro für das nächste Semester gesenkt! Na wenn das mal keine Nachricht ist!
20,- Euro ... lass mal überlegen was ich mir dafür dann nächstes Semester leiste.Dann sind das ja statt saftigen 500,- Euro nur noch 480,-. Was jetzt genau mit den 500 äähh sorry, 480,- Euro angestellt wird, das wird ganz ausführlich hier erklärt.

Und nicht genug der guten Nachrichten. Die RUB hat jetzt (oder schon länger) eine Stabstelle für IT-Sicherheit! Ja, klingt klasse ... das heisst, da hocken nun kompetente Leute die sich um die Sicherheit meiner Daten kümmern, dass so böse Patzer wie damals mit dem Mailserver nicht mehr passieren. Aber vor allem wird viel Geld in die Erhaltung des Urheberrechts gesteckt was ja auch wirklich sehr wichtig ist für Studenten und die Uni!!11

Wer an der RUB studiert, weiss, dass unter anderem viel Geld für große Plakate gegen Urheberrechtsverletzungen ausgegeben wurde. Jaaa, so ein tolles Poster hängt bei mir daheim noch irgendwo. Dadurch werd ich immer an die wichtige Arbeit der Stabsstelle erinnert.

Anscheinend haben die Leute ja doch was gelernt ... es gibt jetzt nen Meldeweg für sicherheitskritische Meldungen. Was das dann genau bedeutet, is nicht wirklich klar. Ob man eine Lücke meldet und dann direkt die juristische Peitsche abbekommt oder diese gegebenenfalls ausbleibt, is unklar. Fakt ist, die Stabsstelle ermutigt zum "Responsible Disclosure".

StudiVZ - Unkraut vergeht nicht aka. "I can see StudiVZ pictures"

Es ist Freitag - Freitag morgen - es darf also Blödsinn gepostet werden. :D Zudem wars nen lustiger Abend, nacher gehts zur Arbeit und dann kommt auch schon fix das WE.
Ich empfehle schwer, mal "Arepa" zu probieren, leckere Maisfladen aus Südamerika. Thx to Carlos and the rest ... awesome evening!

Nehmen wir folgendes Szenario an:
Man geht ins StudiVZ was ja meiner Meinung nach schon erbärmlich genug ist, aber wie dem auch sei. Man besucht dort ein Profil, welches wie dieses hier aussehen könnte:








Soweit sogut, blöd ist bei der Sache nur, dass man keinen Link auf das Fotoalbum von diesem Nutzer hat. Man baut sich selbst einen:

http://www.studivz.net/PhotoAlbums/User/$pseudorandom

und wird feststellen, dass man keinen Zugriff besitzt.
Nehmen wir des weiteren an, dass man nun doch das Fotoalbum von Daniel sehen will ... um jeden Preis. Dies kann unter gewissen Umständen doch möglich werden und zwar, wenn man den Link zu lediglich !einem! Bild in einem Fotoalbum besitzt, wird das ganze Fotoalbum sichtbar. As far as I can see hat da StudiVZ mal wieder richtig schön geschlampt.










So sieht das dann aus, wenn man einen gültigen Link zu einem Bild besitzt. Wie schön zu sehen ist, kann man leicht alle 12 Bilder in dieser Bildergallerie durchscrollen. StudiVZ baut auf "sec by obs" was in den seltensten Fällen funktionieren wird.
Seit die Jungs vom VZ diese random-IDs für sämtliche Links eingeführt haben, is mir das sowieso ein wenig suspekt. Wir wissen ja alle, dass random nicht gleich random ist.

Zum Glück bleiben die anderen Fotoalben nach wie vor verschlossen bzw. is mir noch nicht klar, was da gedreht werden müsste. Aber wer weiss ...

"Und nun zum Ende ... liebe Kinder, was sagt uns das?" ... "Schreck, Schreck, Schreck ... Finger weg vom StudiVZ ... oder meine ganzen privaten Daten sind bald weg."

Anmerkung:
Mehr zu dieser Social Network Problematik werd ich bald mit ein paar Kollegen in einem renommierten Technikmagazin veröffentlichen ... aber dazu sicherlich bald mehr.
Ich spar mir hier die Tips und Anmerkungen was man besser machen hätte sollen ... ich denke, dass da sowieso Hopfen und Malz verloren ist.

Update:
Wie die nette, nicht verifizierte Quelle aus den Comments verlauten lässt, kann es sein dass die Lücke ein hässlicher Zufall ist und die Versuchsperson mir die Bilder "freigegeben" hat oder "an die Freunde meiner Freunde" freigegeben hat. Ich weiss davon spontan nix ... vor allem, was sich mir da spontan als Frage auftut:
Warum sind die Bilder für mich "freigegeben" und ich kann sie dennoch nicht "rechtmässig" einsehen? Ich mein, ich seh kein Fotoalbumlink!
Is das nun nen Bug oder nen Feature? Woher weiss ich welche Bilder ich einsehen kann, wenn die Links nicht angezeigt werden?

Ich hab leider nicht die Zeit das zu rechechieren ...

Hässliches Prefetching vom Feuerfuchs

Ich hatte diesbez. erst kürzlich in Berlin nen interessantes Gespräch mit einem Herren, der nach meinem Vortrag zu mir kam und mich fragte, was denn mit der Firefox-Prefetching Methode sei in Bezug auf Malwareinfektion. Diese könnte doch ein zusätzliches Sicherheitsrisiko sein, wenn mein Browser automatisch Seiten vorlädt, denen ich vielleicht gar nicht vertraue?
Anyway, wie man diese doch sehr "fragwürdige" Funktion ausstellt, wird hier beschrieben. Weitere Sicherheitstips und Links dazu hatte ich erst kürzlich hier gepostet.

IE 8 mit Anti-XSS? Wir sind gespannt!

David Ross hat sich erst kürzlich darüber ausgelassen, dass der neue IE nen XSS Filter innehaben wird. Interessante Sache ... also die reine Konkurrenz zu NoScript wenn Ihr mich fragt.
David erklärt auch recht nett, wie das ganze aussehen und funktionieren soll.
Die Jungs von NoScript haben natürlich direkt dagegengeschossen. Und auch Nate von zdnet äusserte seine Bedenken.
All in all können wir sagen ... das wird nen heißer Sommer (Winter?). Ich freu mich schon auf das "Benchmarking" Rennen ...

Scott Aarronson's Crypto und Komplexitäts Lectures

Scott bloggt in seinem Blog schon immer über interessante Thematiken gerade was Crypto und die Komplexitätstheorie angeht. Ich wollte nur kurz darauf aufmerksam machen, dass sein Unterrichtsmaterial anscheinend nun online ist. (sogar inkl. Hausaufgaben :D)

Switching Blog Language

I think about switching the language back to german. Why? I don't know ... I think I should try this. :D
So don't be astonished if you see the next entries in german.

Intel flaw demo on next HITB?

According to Slashdot, Kris Kaspersky will show a demo attack code for intel chipsets during the next HITB. However, the first thing which really made me confused was:

"Kris Kaspersky will demonstrate how attackers can target flaws in Intel microprocessors to remotely attack a computer using JavaScript or TCP/IP packets, regardless of OS"

Ok, we keep in our minds: Javascript and evil TCP/IP. But now ...

"... and a knowledge of how Java compilers work, allowing an attacker to take control of the compiler"

So what now? Java? != JavaScript? I really hope this is not yet another snake oil crap ...

The Memory Hole

The Memory Hole exists to preserve and spread material that is in danger of being lost, is hard to find, or is not widely known. This includes:

• Government files

• Corporate memos

• Court documents (incl. lawsuits and transcripts)
...

1337 breakfast :D

via Security4all

Save the Cheerleader - Save the Secrecy!

I have to admit, I'm currently a little bit confused. A lot of snake oil is published recently which makes me think of the reliability of several huge mailinglists/blogs etc.
Yet another shitty 1.000.000 $ challenge ... the system is called "permanent privacy" and claims to encrypt your data to an unbreakable level. But read yourself how this amazing stuff works .. Cheers!

The new IPETEE Protocol

Oerghs, the Piratebay likes to encrypt their whole traffic ... and proposed a self-made protocol for this purpose - IPETEE.
I only had a quick look at it but it seems like this protocol smells like me after 10 days in the desert. Thank god, I'm not the only person thinking like this ...
These are the limitations listed in the proposal:

* Does not provide anonymity (but works well with IP-anonymizing networks), thus does not protect against traffic analysis
* Only protects against a passive eavesdropper, does not protect against an active adversary or man-in-the-middle.
* Causes delays in connection establishment, could be a problem for some application protocols. Practical testing needed.
* Will annoy applications running on hosts without support for the encryption protocol with key-exchange requests. (Potential log spamming?)
* "Deep packet inspection" firewalls and transparent proxies may start blocking traffic because of key-exchange requests.

Be aware - doomber worm goes around :D

Via honeyblog.org I came across a worm called doomber. I really think this one is one of the worst. :D *g*

NSA's Red Team

Red Team, or better "R3d T34m"? Sounds like a supernatural special ops team in a recent computer game.
I read the article about the Red Team at the NSA. But for me, the comments on this article were the most interesting. The article itself doesn't really tell any new facts.

There has been a more "grounded" response on the Red Team article here which perhaps gives a little bit more information. Anyway, all in all they just cook with water, so what?!

Theorem of the Day

The "Theorem of the Day" is a nice website which provides a mathematical theorem for each day. For instance, the today's theorem is about "The Stable Marriage Theorem".

Interdisciplinary Workshop on Security and Human Behaviour

Just a short note: The papers of this workshop can be downloaded here. If you wonna have a look at the agenda, go this way.

Stopping Firefox to make unrequested connections

We all love the Firefox, probably ... but sometimes you have to prevent the fox with several measures from making unrequested connections which you perhaps don't want him to make.
How to do this can be read here.

Finished Assassins Creed on the Xbox 360

Yes, I also like playing a small amount of games if I have time for doing that (WC3 forever!). Over the weekend I had time and so I finished "Assassins Creed" on the Xbox 360.
All in all it is hard to find suitable words for this game. In some cases it is really one of the greatest games I saw for a long time ... in other cases it totally sucked.
First of all, the talking sequences are too long! I want to play, not to listen to an old, ancient man talking about crap I almost don't give a shit - you remember: "Shoot! Shoot! Don't talk", great movie by the way. Secondly, I was a bit upset about the end. Killing my master ... uhhh! Great story!
The game itself is nicely made although I didn't manage it to collect all the different kinds of flags.

There is a real chance that I didn't understand the deeper sense of the game. However, I enjoyed playing this game but it could have been more exciting, especially in the end.

Review: The conspirators' hierarchy - the committee of 300

I had the chance to scroll a little bit in this awesome book. Accidentially, I saw a documentation movie yesterday about the role of the CIA in former wars on our planet. In the documentation, "Andreas von Bülow" talked in a great way about all these conspiracy topics concerning the CIA, Osama bin Laden, 9.11 and the Iraqui Wars. It's really astonishing how many details some people know about things normal people never think about.

Anyway, back to the book. I would like to quote the first sentences of the book:

"Certainly a fair number of us are aware that the people running our government are not the people who are really in control of political and economic matters, domestic and foreign."

I don't have all the background information about words like "The Club of Rome", the "300" and many others. However, the book tries to fill these gaps. At first, a short overview and some case histories are given. After that, the book focuses on institutions through which the control of the committee is exercised. Afterwards, institutions which are directly under the influence of the committee of 300 are discussed as well as special foundations and interest groups.
In the end, banks, lawyers, legal associations and accountants are named which are accused of being in touch with the committee.

I currently really think about reading this book from the beginning to the end. The main problem is that it's not like reading a normal book. A lot of background information is needed or has to be researched and this takes a lot of time. But what I read so far was really interesting ...

"WHAT WE SEE IS WHAT THE COMMITTEE THINK WE SHOULD SEE" - D0mber, 2008, definitively on the conspiracy trip :D

How do people get others based on their online profiles?

David Evans presented a paper at the International Conference on Weblogs and Social Media (ICWSM 2008) on the science of interpersonal perception, or more specifically: how well people are able to understand (or "get") others based on others' online profiles, and what elements of those profiles are most important to that understanding.
The video of the talk can be viewed here.

The results presented in the paper, "What Elements of an Online Social Networking Profile Predict Target-Rater Agreement in Personality Impressions?", are based on data collected through an online site, YouJustGetMe, that invites users to answer a set of 40 questions designed to enable assessment of their personality.

F**king interesting stuff, if you ask me! :D

It's friday ... so it's allowed to blog funny things

Some people complained that I don't blog about funny things any more. This posting is for showing my good will! :D
Just for your information: There is no direct relation between me and the guy in the video and of course no relation between me and of the sheep. It's all a big coincidence ... conspiracy! :D



Thx Kalle for the video :D

Web Exploit Toolkits - DACH Conference Slides

We decided to publish the slides for the talk at the D*A*CH conference in Berlin recently. The PDF will be available at the website of Dr. Christoph Wegener. For further questions, please contact me or Christoph ...

How (un)safe is instant messaging?

Due to the recent ICQ changes which affected older ICQ clients and prevented them from joining the ICQ network, I found a nice survey about IM security in general. How safe are the different protocols? Why does the "Facebook chat" for instance totally suck?

These and more questions are answered in a nice posting by Declan McCullagh.

Fraunhofer Symposium - Future Security Program - 3rd security research conference

This conference will be held in September in Karlsruhe. Germany, and is organized by the Fraunhofer VVS and the federal german ministry of education and research.
Short quotation from the website:

The conference will cover topics relevant to civil security research with emphasis on the protection of critical infrastructures (Information and Telecommunications networks, Energy, Transportation, Banking and Finance, Chemical Industry and Hazardous Materials, Emergency Services, Postal and Shipping, Government Facilities and other key assets).

The corresponding program can be downloaded here.

IATAC Newsletter

I recently stumbled across the IATAC newsletter and I think it is quite worth to mention it here. The authors focus topics like ...

Network Risk Assessment Tool (NRAT)
Information Assurance for the Net-Centric Environment: Making the Mission Possible
Implementing Internet Protocol Version 6 (IPv6) on an Army Installation

Perhaps you wonna have a look at it. In addition, it's for free.

Book Review: Hacking Exposed Web 2.0 - Web 2.0 Security Secrets and Solutions

I enjoyed reading this book till the end, however some parts were a little bit "boring". Have a look at the amazon page for a short view over the concerned topics. What I really didn't like was the risk assessment of each presented vulnerability. I mean, you can't trivialise in this case.