Kampf gegen Windmühlen - Carding Forum schließt seine Porten

Es ist immer interessant den "kiddies" oder "bösen Buben" bei der Arbeit zuzuschauen. Seit dem busting von hacksector.cc glauben die Behörden ja, dass sie nen großes Ding gelandet haben. Imho war das lediglich ein Tropfen auf den heissen Stein. Das ist doch das fiese am Internet - kaum macht man den einen Laden dicht, macht der nächste auf.

Allerdings wird wohl ein wenig mehr Druck auf diese "Versammlungsorte" ausgeübt, wie man nun am Beispiel eines schweizer Boards sehen kann.

Tja, erstes Problem für die bösen Buben: Die Behörden tun auch mal was, ab und an. Zweites Problem: Man tritt sich gegenseitig auf die Füße weil der andere 13373r ist oder mehr Nutzer hat. Klingt alles wie ein großer Saftladen ... was es sicherlich auch ist.

Allerdings ist der ganze Kampf, ein Kampf gegen Windmühlen, denn das schweizer Board plant schon den nächsten Auftritt:

Fazit:
Kreditkartenbetrug ist ein Renner! Solange sich nichts grundlegend an den Protokollen ändert, wird der Betrug und der Handel auch nicht nachlassen.

Datensparsamkeit beim Bundeszentralamt für Steuern?

Durch eine Nachricht von Lefixus bin ich soeben auf dieses Prachtstück an XSS aufmerksam geworden. Anscheinend ist der Begriff "input validation" für das Bundeszentralamt für Steuern ein Begriff den sie nicht kennen.

Ich will ja nicht wissen, was dann mit den Steuerberichten passiert. :D

Maybe the cheapest way to travel the Transsiberian railway

Ich wollte diesen Blog aus eigenem Interesse kurz verlinken, da sich das ganze nach einem großen Spaß anhört und ich hoffentlich in Zukunft wieder mehr Zeit für solche Trips haben werde. Klingt doch interessant:

This ticket can be considered the cheapest way to travel the Transsiberian railway. A Moskva-Vladivostok return trip will totally cost about 480 EUR.

Also falls man in Zukunft Situationen wie auf dem Bild rechts entfliegen möchte, ist die Transsib sicherlich die richtige Wahl. :-)

Phisher schlagen zurück! Vorsicht vor dem bissigen Phisher! :)

Von wegen Gitarre, Bier, Sandstrand und Sonnenuntergang.

Ich habs ja irgendwie erwartet, dass die bösen Jungs sich solche Ideen irgendwann einfallen lassen. Laut computerworld.com wird ein Nutzer, der Blödsinn in eine Phishingpage eingibt, mit dem Neosploit WET beschossen. Fieses Dingens ... da denkt man, man kann der Menschheit einen Gefallen tun und Dinge wie "fu**" usw. in eine Phishingseite eingeben und zack! wird man beschossen. Ich persönlich wäre sehr interessiert an dem Source solcher kits ... sind mir bisher noch nicht unter die Augen gekommen. Oder wird einfach auf nen bereits bestehendes WET redirected?

Also, nochmals, wer wird wann mit Exploits beschossen?

"First, if you don't fill out the form completely, second, if you use the term 'phish.' And three, if you use any kind of bad language."

Also, immer schön Augen auf. :-)

iX Artikel auf heute.de

Wie ich soeben erfahren habe, hat heute.de unseren iX Artikel kräftig zitiert, allerdings ohne Namensnennung. Die Lorbeeren gingen an Michael Hamm, der den Boxenartikel schrieb. :-)

StudiVZ Bilderrechte Pfusch - also nun doch!

Also nun doch! Heise veröffentlichte soeben einen Bericht, allerdings ohne Quellenangabe. Wo die wohl diese Infos herhaben? :D
Anscheinend sind meine Vermutungen von damals also doch wahr: Es ist ein Bug und kein Feature.
Is interessant, dass es erst eine Quelle wie heise benötigt, dass die Leute in Berlin was tun. Traurig, traurig ...

China verliert im "Wettlöschen" sensibler Daten

Tja, wer hätte es gedacht:
Ich hab hier ja über die Postings von Stryde Hax berichtet und dass er die Chinesen zum "wettlöschen" herausgefordert hat. Nun es wäre dann soweit.
Die Chinesen haben die Datei gelöscht, die allerdings schon überall weltweit gemirrored wurde. Tztz ... kläglicher Versuch imho. Lest die ganze Story hier.

Scyther tool - automatisierte Protokollanalyse

Ich hab mal bissle mit Scyther rumgespielt, einem sehr geilen Tool zur automatisierten Protokollanalyse von Krypto-Protokollen.
Das ganze funktioniert in etwa so:

Man definiert per Algorithmus das Protokoll (siehe Bild, links) und Scyther analysiert anschließend automatisch.

Dass das ganze in der Praxis natürlich eine große Hilfe ist, ist beispielsweise in diesem Papier zu sehen. Die Schwachstellen wurden fast ausschließlich durch Scyther gefunden und natürlich anschließend nochmals nach-analysiert. Das Paper ist recht interessant und leicht zu verstehen, vor allem aber ist die "Semantic" der Schwachstellen super interessant. Das Scyther tool kann also gerade bei komplexeren Protokollen und Angriffen sehr viel Arbeit abnehmen! Nice Work!

Magazine frei zum Download?

Mygazines.com machts anscheinend möglich. Die Webseite bietet die Möglichkeit, Magazine selbst hochzuladen und natürlich online zu lesen. Die Webseite macht layouttechnisch ne Menge her, fraglich ist allerdings wie lange noch.
Dass das ganze nicht so weitergehen kann ist irgendwie klar. Beispielsweise gibts jetzt schon die September-Ausgabe des National Geographic Adventure Magazines. Aber die ersten Beschwerden liegen bereits vor.

Google - ein großer Saftladen?

Ha, google ist ein cleveres Kerlchen. Es indiziert sogar SQL-injections.

China - Blogger fordert Great Firewall heraus

Jetzt wirds spannend! Stryde Hax wird in den nächsten Stunden einen Link auf einen internen chinesischen Webserver publizieren, der interessantes Material zu der Vertuschungsaffäre mit dem chinesischen Athleten enthält. Das ging ja auch durch die deutsche Presse anscheinend ...
Stryde will mit der Aktion prüfen, wie schnell die Chinesen seine Seite blocken werden. Allerdings wurden bereits Vorkehrungen getroffen: Wikileaks wird den Artikel zeitverzögert publizieren.

Dass die Chinesen da nen komisches Spiel treiben war ja irgendwie vorherzusehen. Für mich sind die ganzen olympischen Spiele ein kompletter Fake ... da verschwinden Demonstranten, der IOC Cheffe is auch nicht auffindbar, Fakten werden verschwiegen. omfg ... ich bin froh dass das nun alles ein Ende hat.

Bild: aus der Jerusalem Post im Jahre 2002

Aktueller IX Artikel - Wie Web 2.0 den automatisierten Missbrauch ermöglicht

Ups, gar nicht gemerkt, dass unser (me + 2 befreundete Autoren) Artikel bereits in der aktuellen iX gedruckt wurde, die seit gestern verfügbar ist. Und sogar die Titelstory ... eiei. :D

Es geht mal wieder um soziale Netzwerke und den Missbrauch deren Daten. Mein Teil des Artikels liegt größtenteils in der mathematischen Abstraktion der sozialen Netzwerke. Das Gefasel darüber stammt von meinem aktuellen Papier, was ich hoffentlich in nächster Zeit veröffentlichen werde.
Allerdings konnte ich diese doch recht interessante Thematik in dem iX Artikel platzbedingt nur kurz anschneiden. Mehr dazu hoffentlich bald ...

BurpSuite - Problem mit selbstsignierten Certs

Diejenigen von Euch die auch regelmässig mit der Burpsuite von den Portswigger-Leuten arbeiten, haben das sicherlich schon bemerkt:

Der neue Firefox macht Ärger zwecks der selbstsignierten Zertifikate von der Burpsuite. Ich hatte all die Tage keine Lösung für dieses Problem, doch nun haben die Portswigger-Leute das Problem selbst gelöst.
Prinzipiell ist es ja löblich, dass der Firefox soviel Wert auf richtige Certs legt, allerdings ist das in dieser Hinsicht ein wenig ärgerlich, da man somit keine SSL Verbindungen mehr proxien kann.

UPDATE:
Über die SSL Geschichte bei Mozilla wird anscheinend im recht großen Stil diskutiert.

CRYPTO 2008

Nur kurz:
Heute geht die CRYPTO 2008 zu Ende. Das doch sehr interessant klingende Programm gibts hier. Nen paar Jungs von meiner Uni waren wohl auch vor Ort mit dem Thema "On the Power of Power Analysis in the Real World: A Complete Break of the KeeLoq Code Hopping Scheme".
Heise erzählte heute auch schon was über die Conf ...

Javascript makes you dizzy in your brain

Total deppert diese Sprache teilweise ... oder liegt es daran, dass ich keine Ahnung von Programmierung habe? :-)

Folgendes ...

if (foo){
setTimeout(startPOSTData(method,payload,payname,posturl,ua), delaytime*1000);}

... funktioniert nicht. Warum?
Die Vars method, payload usw. sind lokal in der Funktion. Allerdings braucht das blöde JS diese nochmals deklariert:

var newtime = delaytime;
var newmethod = method;
var newpayload = payload;
var newpayname = payname;
var newposturl = posturl;
var newua = ua;
setTimeout(function(){startGETData(newmethod,newpayload,newpayname,newposturl,newua)}, newtime*1000);

Für meine primitiven Programmierverständnisse ist das irgendwie reichlich überflüssig ... oder irre ich?

ESA Defacement

Defacements sind hässlich, blödsinnig und machen in der Regel wenig Sinn. Nun hat es die ESA erwischt, besser gesagt den IONA Server.
Mich macht das immer ein wenig nervös, wenn solche Institute nichtmal auf ihre Webseiten aufpassen können. Dann lagert man dort aus Versehen kritisches Material und der Angreifer kann somit eventuell von dort weiterspringen.

FF extension dev - Javascript XML-HTTP requests, es ist zum verzweifeln

Kennt Ihr das? Man kriegt nicht reproduzierbare Fehler? Bzw. Fehler, die nicht statisch sind? Mal tauchen sie auf, mal nicht ... es ist zum Ausrasten!

Folgendes:

for(i = 0; i < looplen; i++)
{
doRequest(prehost+xml.getElementsByTagName("preuri")[i].firstChild.nodeValue,ua,"GET","null");
}

Das is im Prinzip ne for-schleife die looplen-mal doRequest() mit den entsprechenden Parametern aufruft. Die URL wird aus ner XML Datei extrahiert.
Problem ist, dass die Schleife irgendwie nicht will. doRequest() ballert XML-HTTP Requests raus und die Funktion an sich funktioniert! Das is nicht die Frage ... nur in der Loop hängt das irgendwie.

Ich bin derzeit noch recht planlos ... und weiss nicht wirklich worans liegt. Meine Vermutung ist, dass es mit der asynchronen Abfrage zusammenhängt. Wenn jemand nen Tip hat, raus damit.

Cyberwar Georgien VS Russland? Oder mischt das RBN auch noch mit?

Die Stories in letzter Zeit über den Georgien-Konflikt überschlagen sich ja - leider. Wenn man mal nicht den offiziellen Quellen und Bildern trauen will, hab ich nen Link für Euch.
Anscheinend wurden die Bilder von russischen Soldaten geschossen, die Dienst in Georgien tun. Die Bilder sind nichts für schwache Nerven und zeigen mal wieder, dass realer Krieg absolut abartig ist! Was da unten wieder abgeht ist absolut unfassbar ...

Was man aber in der Szene auch nicht überhört, sind die Berichte über den angeblichen Cyberwar, der sich parallel abspielt. rbnexploit behauptet, dass das RBN mal wieder schuld an allem Übel ist. Klingt eigentlich auch logisch ... und die Vermutung, dass die russische Politik sich das RBN "anmietet" um den Cyberwar gegen Georgien zu gewinnen, ist jetzt ja auch nicht sooo weit hergeholt. Allerdings gibt es dafür keinerlei Beweise.
Letztendlich kann man nur spekulieren (shadowserver):

Who's behind the Georgian DDoSes? It's impossible to be sure, but it really just looks like a bunch of "patriotic" operators inside Russia. It's not Russia itself and it's not RBN.

Wir dürfen also gespannt sein, was da noch so kommen wird. Ich sollte mal die ganzen Cyberwar Bücher rauskramen, die ich die ganze Zeit verbannt hatte. :D

Rich People Rooftops NYC

Ich zähle mich ja selbst nicht zu den youtube - flickr Junkies, die täglich Stunden damit verbringen den Mediabrainfuck anderer Leute zu durchsuchen.
Allerdings kenne ich eine Menge Leute die so drauf sind und dieser Link hier stammt auch von einem dieser Personen.

Ich finde, wenn man sich die Bilder so anschaut, gibt das doch jede Menge Anregung zum Träumen ... "was würde ich tun, wenn ... ". Ich mein, wer sagt denn nein zu ner Penthousewohnung in NYC? :D
Bild: mein Favourite ... Quelle: flickr

GSM Station nach IKEA Art

Der Spiegel hat vor geraumer Zeit einen interessanten Artikel über eine mini-GSM Anlage gebracht. Das Teil soll auch lediglich 3500$ US kosten, was ja noch im Bereich des Machbaren liegt. Zudem liegt der Stromverbrauch deutlich unter dem einer normalen Station, allerdings können auch nur bis zu 100 Clients abgearbeitet werden.

Als ich die Nachricht gelesen habe, dachte ich spontan an Afrika. Gerade dort könnten solche Stationen ne Menge bringen.

Bild: Telekommunikationsanlagen in Kairo - Ägypten

Is das net unverschämt?

Ich war ne Woche in Frankreich und hab auf der Hinfahrt an ner Raststätte gehalten - in Frankreich. Da gabs auch WLAN ... aber anscheinend mögen die einen nicht so richtig :D

Iren und englisch?

Ha, interessant:
Ich hab meine Review-Noten für nen kürzlich eingereichtes Papier auf ner amerikanischen Konferenz zurückbekommen. Und jetzt schau sich das mal einer an:
In englisch ne "4", das heisst, nicht perfekt. Ich persönlich hätte mich schon über ne 3 gefreut, aber in diesem Fall ist es was anderes. Ein Ire hat mein Papier gegengelesen und mich auf ne Menge derber Fehler hingewiesen. Jetzt teilte ich ihm mit, dass das Papier in Kategorie "English" nur ne 4 bekommen hat ... ich hab selten einen Iren so derbe ausflippen sehen. :D

Aber gleichzeitig darf ich nicht sagen, dass er native speaker wäre ... :) Ach, is das alles herrlich.

Spanische Erotikclips im Fernsehen - VLC versagt

Sehr lustig - kürzlich nachts nach ein paar Bier nach Hause gekommen mit 2 Kollegen, wollten dann noch vorm Fernseher ein wenig versacken und was springt mir da beim zappen ins Auge?
Richtig! Spanische pr0n-clips-Sender spielen ihre clips per VLC ab! Unter Wind0ws! Dass das ab und an ins Auge gehn kann, ist klar.


Also sowas is mir in meiner über 20-jährigen Fernsehschau-Karriere echt noch nicht unter die Augen gekommen.

String DeObfuscation - was gibt es für Möglichkeiten?

Jeder der ab und an ein wenig Pentesting für Webapplikationen macht, kennt sie: Die komischen, nichtssagenden Strings, die immer wieder auftauchen und für Verwirrung sorgen könnten.
Man findet sie häufig als SessionID oder auch als URL Token (siehe Online Banking).

Was ich mich nun frage ist: Was kann man eigentlich aus diesen völlig zufällig aussehenden Strings für Informationen beziehen? Wir wissen ja spätestens seit der OpenSSL Geschichte, dass Zufall nicht immer gleich Zufall ist.
Wie kann man also feststellen, ob ein String wirklich pseudo-zufällig erstellt wurde oder nicht? Oder gibt es ein erkennbares Schema zwischen verschiedenen Strings?

Stompy, die Software von Michal Zalewski, zielt genau auf sowas ab:

stompy the session stomper is a penetration testing tool that performs an automated analysis and runs an array of fairly sophisticated tests on WWW session identifiers (or any other tokens) to see whether they are reasonably unpredictable or vulnerable to attacks.

Es gibt dann noch weitere Tools wie beispielsweise den Burp Sequencer von den Portswigger Leuten:

Burp Sequencer is a tool for analysing the degree of randomness in an application's session tokens or other items on whose unpredictability the application depends for its security.

Der Sequencer hat die FIPS bit-level analysis methods implementiert: FIPS-monobit, poker, runs, long run ...
Die GNU scientific library hat auch noch ein paar interessante Ansätze zu random number distributions.

So, was mein Problem mit diesen ganzen bisherigen Tools wie stompy, burp sequencer und anderen ist:
Sie gehen direkt auf das akademische Level! Normalerweise ja kein schlechter Ansatz, allerdings in der Praxis manchmal ein wenig "unnötig".

Nehmen wir einen random String mit 10 characters: GEJ34GO9G7
Was ich für die Praxis manchmal viel wichtiger finde, ist die Tatsache ob es sich bspw. um einen Hexwert handelt? Oder gibt es Hexwerte innerhalb des Strings? Das gleiche gilt für base64 kodierte Strings. Oder gibt es base64 kodierte Strings innerhalb?
Könnte der String ein MD5 sein? SHA-256? Dies könnte man beispielsweise an der Länge des Strings ausmachen bzw. man könnte auf diverse Hashfunktionen beschränken da manche Verfahren ja die gleiche Hashlänge produzieren.

Klingt eigentlich recht primitiv, aber anscheinend gibt es dafür noch kein automatisiertes Tool, welches einfach mal grundlegende Informationen aufzeigt.

Interessant war auch kürzlich ein Fall bei einem Pentest:
Der random String war anscheinend MD5 der dadurch generiert wurde, dass man den unixtimestamp() hasht. Wie kam ich darauf? Ich hab einfach geraten ... und dann ein kleines Script geschrieben, das mein Bedenken verifiziert.

Es gibt bestimmt noch diverse weitere Möglichkeiten, Strings zu untersuchen ... ohne direkt auf FIPS Ebene zu gehen. Anscheinend fehlt hier noch eine richtige Implementation ... oder kann mich jemand informieren?

Bild: Blick auf den Hamburger Hafen

Ei, die Franzosen können sich wieder nicht benehmen :D

3 böse Buben haben auf der BH'08 anscheinend andere Reporter ausspioniert. Naja, jetzt wurden sie "sanft entfernt".
Und nein, ich habe nichts gegen Franzosen. Ich wohne mit einem zusammen ... :D

Offene mathematische Probleme

Computational Complexity hat ne nette kleine Liste aufgezeigt, die aktuelle, offene mathematische Probleme beinhaltet. Da ist dann für jeden was dabei ... auch Probleme die sicherlich jeder kennt: P VS NP oder das Faktorisierungsproblem usw ...
Wer jetzt immer noch nicht genug hat, kann sich auf unsolvedproblems.org genügend Nachschub besorgen.

JAP ist jetzt JonDos

Ihr kennt ja noch alle JAP von der TU-Dresden damals. Da dieses Projekt jetzt nicht mehr gefördert wird, kann man dafür nun zahlen, wenn man möchte.
Die JonDos GmbH betreibt nun den Nachfolger von JAP und anscheinend mit recht viel neuen Funktionen und Features.

Problem ist da nur die PR:
JAP - das erste was mir bei diesem Wort in den Kopf schiesst, ist die Tatsache, dass damals anscheinend eine Protokollierfunktion eingebaut werden musste (einstweillige Verfügung?). Das kratzt stark am Vertrauen.

Anscheinend kann JonDos auch nur HTTP und von daher wird es wohl nicht an TOR herankommen. TOR ist for free und die richtig schlechte PR ist noch nicht bis zu mir durchgedrungen, obwohl es doch auch etliche Angriffsversuche gab.
Ich denke, da bleibt man doch lieber bei Altgewohntem.

PS: Das Bild wurde 2002 in Jerusale, Israel, aufgenommen und zeigt doch sehr schön, dass die Israelis uns wohl einen Schritt voraus waren was die Videoüberwachung angeht. :D

Paper Review: A Secure Multicast Protocol with Copyright Protection

Secure Multicasting - immer wieder ne Herausfoderung. Dieses Papier zeigt ein angeblich sicheres Protokoll auf, welches helfen soll, "Insider" die Informationen preisgeben, zu identifizieren. Also Teilnehmer des Multicasts. Interessant sind solche Ansätze beispielsweise für pay-per-view video multicast oder militärische Videoconfs.
Anscheinend gabs ne frühere Version von dem Papier und das hier is nur eine allumfassende Zusammenfassung, aber da müsst Ihr selbst suchen.

Jedenfalls werden diverse group key distribution methods und Algorithmen diskutiert, die helfen könnten das Problem zu lösen. Das Gelaber über MPEG is auch recht interessant. Man kann ja entweder den ganzen Stream verschlüsseln oder nur den sogenannten I-Frame (intra-frame). Der I-Frame ist encoded als einzelnes Bild, allerdings mit keiner Referenz zu kommenden oder vorherigen Frames. Anscheinend gibts da aber noch ne Menge Probleme mit der Verschlüsselung von I-Frames.

Aber eigentlich is das grundlegende Problem ja klar: Ich will multicasten um Bandbreite etc. zu sparen. Wie kann ich aber erreichen, dass die Packete trotzdem eindeutig getaggt werden für jeden Empfänger? In dem Papier wird vorgeschlagen, random bit strings für einzelne Nutzer einzubetten.

Naja, jedenfalls wird auch eines klar festgestellt: Es gibt derzeit (2002?) keinen robusten, unsichtbaren und nicht-invertierbaren real-time video watermarking Algorithmus. Bang! Damit müssen wir eben noch leben. Aber das Papier wurde 2002 gepublished, vielleicht gibts seither ein paar Veränderungen?

HDFC-Bank Informationen auf rapidshare

Ich kanns nicht glauben. Ich bin durch eine Quelle auf einen rapidshare Link gestoßen, welcher interne Infos der HDFC Bank zum Download anbietet. Ich wiederhole: rapidshare!

Der komplett entpackte Ordner enthält rund 3 MB Dateien (die meisten sind xls-Dateien) mit teilweise hochsensiblen Daten. Ich kanns nicht fassen ... wie mein Kollege hier zu sagen pflegt:
"... this fu**ing scares me"

Natürlich hab ich die Bank sofort informiert und warte derzeit auf eine Rückantwort. Wie oft die Datei runtergeladen wurde bzw. wann sie hochgeladen wurde ist unklar. Laut meiner Quelle etwa gestern, am 7. August 08 etwa um 16 Uhr MEZ.

Bei den Datensätzen handelt es sich hauptsächlich um Personen aus England und Schottland. Allerdings sind die Datensätze komplett, das heisst, alles in allem müsste es sich hier um insgesamt mehrere hundert, wenn nicht tausend, Datensätze handeln.
Imho ein ziemlich dickes Ding. Ich will nicht wissen wie die Datensätze da hinkamen. :-/

bund.de Verschwörungstheorien

Es ist wirklich total nichtig die folgende Information ... aber trotzdem möchte ich sie Euch nicht vorenthalten. Ich bin vor Kurzem mal wieder beim BMI vorbeigesurft um zu schauen, wie fortgeschritten Herr Schäuble mit der totalen Überwachung ist.
Nungut ... unter "Behörden und Einrichtungen" gibts ne Liste zum Klicken mit den verschiedenen Ämtern. Wenn man die der Reihe nach klickt, versuchen die verschiedenen *.bund.de Domains kleine hässliche Cookies abzulegen, die sich alle irgendwie sehr ähneln. Hier meine Liste:

b3ba5fb73e458eef
b3ba5fbf3e458ee1
b3ba5fa13e458f90
b3ba5fb53e458f99
b3ba5fbc3e458ef4
b3ba5fa73e458faa
b3ba5fb33e458fa8
b3ba5fb33e458fa8
b3ba5fb33e458fa1

Just FYI! :) Don't mess with bund.de ... aber mein Tip? Testcookies! Also total trivial :D

BH 2008: Pwnie Award Auszeichnungen

Ha, wer hätte es gedacht. Ich hab kürzlich ja bereits drauf gewettet, dass McAfee nen Award abstauben wird, für die meisterhaften Aussagen bzgl. der sog. "Hacker Safe" Software.
Gestern Nacht wars anscheinend soweit.

Debian und der nette CEO, der seine SSN online postete, haben den Award für "most epic fail" abbekommen. :)

Alles in allem sehr interessant.

Ah jetzt ja! BH2008 Slides ...

Anscheinend sind die ersten Slides für die Blackhat 08 raus. Falls jemand mehr Links hat, her damit. Gibts eigentlich auch Videos? :D

Save the Cheerleader - Steal StudiVZ Pictures Part 2

Liebe StudiVZ-Verantwortliche,

da Ihr hier ja direkt mitlest, ist das ganz praktisch ... man kann ohne Umstände miteinander kommunizieren. :D
Dass Unkraut nicht vergeht, haben wir alle ja kürzlich erst feststellen müssen. Da habt Ihr mir aber anscheinend nicht geglaubt (siehe Kommentare hier) oder war das nur geschicktes Vertuschen?
Ich muss ehrlich sagen, dass ich es leid bin, die Arbeit von Euren Programmierern/Datenschützern zu übernehmen. Es nervt ...
Deshalb werde ich hier auch nur beweisen, dass beim StudiVZ mal wieder nichts so funktioniert wie es soll. Es gibt kein Disclosure, so dass kein Schaden entsteht. Ihr dürft mich aber gerne per Mail ansprechen, falls Ihr die Lücke nicht selbst findet oder Euch mal nen gut gemeinten Rat abholen wollt.

Ich stelle hier mal die Behauptung in den Raum, dass man ohne große Anstrengungen Fotogallerien jedes Nutzers einsehen kann, egal ob man Rechte dafür besitzt oder nicht. Das ist eine ziemlich grobe Verletzung der Privatsphäre der ganzen armen Studenten, die irgendwann den größten Fehler ihres Lebens begangen haben und sich beim StudiVZ angemeldet haben.

Ich dachte bis gestern, dass spezielle Vorbedingungen für die Lücke herrschen müssen, allerdings ist dem anscheinend nicht so.
Seit der Einführung des super-mega-tollen-imba Features, der Diashow mit zusätzlichem Funktionskrams, war dann auf einmal Tag der offenen Tür. Anscheinend ist man in Berlin ein wenig zu sehr mit dem Abmahnen von anderen Domains beschäftigt, als auf die eigene Sicherheit zu achten.

Grundlegendes Problem:
Eigentlich ist es recht simpel: Betreiber von Web 2.0 Anwendungen pumpen die Applikationen voller und voller mit teilweise absolut unnötigen Features, die lediglich eines tun; sie gefährden die Sicherheit der Anwendung an sich. Was teilweise an AJAX-Dschungel-Code produziert wird auf manchen Anwendungen ist einfach nur noch furchtbar.
Es is alles wie in einem schlechten Traum! Kleinere Portale, wie beispielsweise das gestern erwähnte blogage.de, müssen immer neue Features implementieren und Trends folgen, um im Rennen zu bleiben. Man achtet zu sehr auf Funktionalität und "in-sein" anstatt auf die Sicherheit.
Und wie jetzt zu sehen ist, hat das StudiVZ sich mit der Einführung ihrer neuen Bildergallerie ins eigene Bein geschossen. Ein Schritt zuviel wieder dem Trend gefolgt ... aber ist das wirklich was Neues?

Wie?
Ich bin auf diese "Lücke" durch reinen Zufall gestoßen. Es ist kein "Hack" ... es wurde nichts beschädigt, ich habe gegen kein Gesetz oder sonstiges verstoßen. Nein, eigentlich ist es zu primitiv hier erwähnt zu werden, wenn nicht auf einmal Millionen von Bildern sichtbar im StudiVZ rumschwirren würden.
Ich bin eigentlich ein strenger Vertreter von "responsible disclosure" ... deshalb werden/wurden die Infos dieser Lücke nicht weitergegeben. Allerdings wurde die 256-Euro Regelung abgeschafft und ich sehs nicht ein die Arbeit von inkompetenten Programmierern zu machen.

Ich will aber auf die Dringlichkeit hinweisen: Jeder, der ein wenig Ahnung von Webanwendungen hat, kann diese Lücke innerhalb von wenigen Klicks selbst finden!
Sowas darf nicht sein! Ich sorge mich nicht um das Wohlergehen des StudiVZ, sondern um das der Nutzer "... denn sie wissen nicht was sie tun".

Was ist möglich?
Man nehme ein total zufälliges Profil. Zufall heisst, ich kenne diese hier gezeigten Personen nicht ... und werde sie wahrscheinlich auch niemals kennenlernen. Zufall ist aber auch genau das, was das StudiVZ noch nie wirklich gut wusste zu bedienen.

Das zufällige Profil sieht also wie das folgende aus:
Das heisst, ich besitze eigentlich nicht die Rechte, die Bildergallerie dieses Nutzers einzusehen, richtig? Wenn dem nicht so ist ... dann bitte nicht mehr weiterlesen. Denn das is das ganze kein Bug, sondern ein Feature.
Ich hab aus unbestätigten Quellen auch mitbekommen, dass diese Lücke schon uralt sein soll. Wo kann ich sowas nachlesen? Warum informiert mich niemand? :D


Nun, ich frage mich halt, warum ich trotzdem sämtliche Bilder einsehen darf? Ist das nun gewollt oder nicht?
Und bitte: Ich habe keine besonderen Rechte ... ich kenn diese Person nicht.

Fazit:
Was heisst das konkret? Bilder im StudiVZ sind nicht sicher. Derzeit kann jeder mit ein wenig Wissen sämtliche Bilder von sämtlichen Nutzern einsehen, soweit ich das beurteilen kann.
Wenn Lischen Müller montags denkt, sie kann ihre Bilder vom Exzess am Wochenende sicher ins StudiVZ stellen, weil ja nur ihre Freunde diese sehen können ... dann hat sie sich wohl geirrt. Anscheinend legt man mehr Wert auf Umsatz als auf die Sicherheit der Nutzer beim VZ. Für mich persönlich nach all den Jahren nichts Neues ...

Zu guter letzt möchte ich noch den guten Bruce zitieren, weil er einfach verdammt Recht hat:

"Whenever you put data on a computer, you lose some control over it. And when you put it on the internet, you lose a lot of control over it."

Ich hänge an: "And if you put your pictures on StudiVZ, you lose all control over it!"

In diesem Sinne ... es hilft nur eins: Abmelden! Meiden! Großen Bogen ums StudiVZ machen! Und sich nicht dem Gruppenzwang hingeben!

Achja, falls es sich bei dem hier aufgezeigten um keine Lücke handeln sollte ... sondern alles total geplant läuft ... dann weiss ich auch nicht mehr wohin mit der Welt.

Suche Reviewer für mathematisches Papier

Ich brauch jemanden der fix mal Zeit hat rund 5 Seiten mathematischen Brainfuck zu lesen. Es dreht sich im großen und ganzen um viel Graphentheorie und verschiedene Methodiken des graph-based data minings aber in Bezug auf IT-Sicherheit.

Mehr wird erstmal net verraten ... aber da ich kein Mathematiker bin (leider? :-D zum Glück?) würde ich mich freuen, wenn jemand mein Formelwirrwarr ein wenig durchblicken würde. Gegenleistung? Bier! Wenn ich wieder in Deutschland bin ... oder reviewen eines Papers :D

Wer Lust hat, bitte melden ... mail, jabber, comment ..

Paper Review: Semantic Analytics on Social Networks

Ich will jetzt ja nicht auch noch Eure Paranoia schüren, aber nachdem ich gestern endlich mal das Papier "Semantic Analytics on Social Networks: Experiences in Addressing the Problem of Conflict of Interest Detection" aufmerksam gelesen hab, wars zu Ende mit dem guten Gefühl. Ja genau, das ist das Papier welches von der ARDA gesponsort wird ... einer NSA nahen Institution.
Naja, jedenfalls klingt der Titel so leicht "blabla" auf den ersten Blick. Nur wenn Ihr Euch das Papier mal wirklich antut und ein wenig versucht durchzublicken, dann werdet Ihr auch kapieren was der eigentliche Sinn und Zweck ist. Imho ist der folgender:

Man(n) nehme 2 soziale Netzwerke (in diesem Fall FOAF und DBLP) und versuche mit SNA und diversen semantischen Methoden herauszufinden, bei welchen entities in beiden Netzwerken es sich um die gleiche reale Person handelt. Man kann das alles schön akademisch in Wörter wie "conflict of interest" verpacken, aber um ehrlich zu sein ... is doch alles nur bissle Show drumherum oder? Wäre ja auch leicht komisch bei einem quasi-NSA-sponsored Projekt zu sagen ... "jaa, und für die bessere Überwachung von Leuten haben wir nun diese Methodik vorgestellt."
Jaa, da braucht die NSA gar nicht länger mehr nach dem "semantic web" betteln, sondern wir liefern es frei Haus.

XSS worm für blogage.de

blogage.de war wormable - jetzt nicht mehr, jedenfalls was diese Lücke angeht. Ich hab nen kleinen, primitiven PoC geschrieben, für die Interessierten: hier.

Anschließend hab ich heute mit den Jungs dort geredet - flottes Team, was das fixen von Lücken angeht! Respekt!

Problem war, dass der Untertitel des Blogs bei der Eingabe nicht gefiltert wurde und man somit ein persistentes XSS in den eigenen Blog mit einbetten konnte.

Das heisst auf gut deutsch, dass jeder eingeloggte Nutzer, der sich auf den infizierten Blog des Angreifers begiebt (oder auf das Profil, reichte auch schon), automatisch eine Freundschaftseinladung an den Angreifer schickt. Das hätte einem Angreifer ne Menge Freunde bescheren können.
Ich hab den PoC in Anlehnung an Sammy erstellt ... Sammy, you are our hero! :D

Natürlich hätte man weit aus mehr Schaden anrichten können, wie beispielsweise Accounts stehlen, gefälschte Nachrichten abschicken, die Infektionsroutine auf Blogs infizierter Nutzer weiterverbreiten usw ... aber immer bedenken: ich bin einer von den Guten. :D

Das PoC soll nur zeigen, was sowas anrichten kann. Auch wenn die Jungs von blogage.de sehr fix im patchen ware: Mich überzeugt die Seite in Hinsicht auf Sicherheit nicht wirklich. Ich fand auf den ersten Blick zuviel Stellen wo ich sagen würde ... hoppla, da könnte was gehen.

Aber so isses nunmal mit dem Web 2.0 ...

PS: Das war wirklich kein großer Akt ... aber genau das sollte uns allen Angst machen.

Jane Austen Book Club

Also ich würde mich in Sachen "normaler" Literatur als Schnösel bezeichnen. Das heisst, dass wahrscheinlich meine Prinz-Eisenherz Comics die einzigen normalen Bücher waren die ich jemals gelesen habe. :D

Allerdings hab ich mir jetzt durch einen komischen Zufall doch mal den Jane Austen Book Club reingezogen. Und ich muss sagen, der Film is genial und ziemlich lustig. So viele komische Charaktere hab ich selten gesehen ... auch wenn man von dem ganzen Literaturgelaber nix versteht.
Also falls jemand von Euch mal die Chance hat, den Film zu schauen ... Macht Es! Und wehe einer lacht jetzt :-)

Computer Aided Cryptography Engineering

Bin durch Zufall auf die Projektseite von CACE gelangt, was soviel heisst wie "Computer Aided Cryptography Engineering".

This project aims to target the lack of support currently offered to cryptographic software engineers. It is developed by several huge institutes and universities especially in Europe.

Klingt sehr interessant, vor allem wenn man sich mal so anschaut was die alles einbauen wollen. Ich merke grad, dass da meine Uni ja auch ihre Finger mit im Spiel hat ... eieiei. :D

Aleksei braucht Dich! Jetzt!

Kürzlich per Mail erhalten:

Sehr geehrter Leser,

vor einem Jahr hat mein russischer Freund einen gebrauchten Mercedes-Benz ML270CDI, Baujahr 2002, vom Autohandler Bielefeld-Automobile in Delmenhorst, Deutschland, gekauft,

Seit er in Russland ist, war der Wagen dauernd defekt und die Reparaturkosten waren hoher als der eigentliche Wert des Autos.

Nun funktioniert auch die Bremse nicht mehr korrekt. Das Auto bremst plotzlich und die Warnsignale brennen wahrend der ganzen Fahrt. Er benutzt den Wagen seit einigen Monaten nicht mehr, da es sehr gefahrlich ist.

Reparaturearbeiten in den Mercedes-Benz-Centern in Russland sind ausgesprochen teuer, man sagte ihm, um ein mehrfaches als in Deutschland. Davon abgesehen gibt es dort, wo er lebt, kein Mercedes-Benz- Center.

Daher sucht mein Freund einen Spezialisten aus Deutschland, der nach Russland (160 km sudlich von Moskau) kommen, den Wagen durchchecken und das technische Problem losen kann. Er wird den Flugpreis und die Reparatur bezahlen, Sie kostenlos beherbergen und Ihnen alle schonen Orte in seiner Region zeigen.

Vor kurzem hat die Volkswagen AG eine grosse KFZ-Fabrik in der Gegend, in der er wohnt, erbaut. Viele Spezialisten aus Deutschland kamen zu dieser Fabrik. Sie sind sehr nett, klug und freundlich. Sie haben Kinderspielplatze in der Stadt gebaut, viele Baume gepflanzt und noch viele andere wundervolle Sachen fur die Stadt Kaluga getan. Die Einwohner von Kaluga sind daruber sehr glucklich, da die lokalen Behorden dies seit vielen Jahren nicht bewerkstelligen konnten.

Mein Freund bedauert es sehr, den Mercedes gekauft zu haben. Wenn das Auto repariert ist, will er es sofort verkaufen und den VW kaufen. Sein Nachbar hat seit zehn Jahren einen alten VW Golf und hatte niemals solche Probleme.

Wenn Sie nach Russland kommen und den Wagen reparieren konnen, setzen Sie sich bitte telefonisch mit ihm unter +7-960-5145083 in Verbindung, es wird Russisch gesprochen.

Wir hoffen, bald von Ihnen zu horen !

Aleksei

Überraschend finde ich das gute deutsch, das hier an den Tag geleget wird. Für Spam eigentlich nicht gerade typisch.

Klar sollte ja auch sein, dass sobald man sich einverstanden erklärt, den Job zu machen, man wahrscheinlich mit einem Haufen von Geld überhäuft wird. Dies kommt komischerweise nicht von einem russichen Konto sondern wahrscheinlich von vielen verschiedenen deutschen Konten.
Auf die Frage hin, was man mit dem vielen Geld denn machen soll und die Aussage, dass der Flug etc. nur einen Bruchteil davon benötigt, wird man darauf hingewiesen, dass man das Geld doch bitte an ein russisches Western Union Konto zurück überweisen soll. War ja alles nur ein großes Versehen.

Und "schwups" ist man ein sogenannter "Finanzagent" und wird sicherlich bald Besuch von den Jungs und Mädels mit dem "Abzeichen" bekommen.

Aber ich muss sagen, die Story gefällt mir irgendwie. :D

PLA Folge 19

Haha, ich hab wieder sowas von gelacht. PLA Radio (Phone Losers of America), Folge 19! Zeigt hervorragend was man mit Anrufbeantwortern anstellen kann. Ich sag nur "No, my kids are NOT ugly...". Da könnte Walmart nen Problem bekommen haben.
Omfg, made my weekend!

Wenns mal wieder brennt - Drucker als Idle-Scan Slaves

Ich hab mir mal überlegt wie das eigentlich mit dem Missbrauch von Druckern als Idle-Scan Slaves ist. Drucker sind heutzutage nicht mehr die alten, schweren Geräte die bei jedem Druck übelst laute Geräusche von sich geben. Nein, heutige Drucker sind die eierlegende Wollmilchsau der embedded devices. Viele können Drucken, FTP-Drucken, haben nen FTP Server und nen Anschluss für ne externe Platte, nen Webserver, ne Shell ... ja sogar nen kleines OS (NetBSD beispielsweise).

Warum aber sind Drucker ein geeignetes Ziel?
Drucker bzw. Netzwerkdrucker stellt man in die Ecke und installiert sie. Sie laufen und laufen und solange alles funktioniert, kümmert sich niemand um sie. Sie haben oftmals kein oder nur ein beschränktes Log-System und erregen wenig Aufsehen. Sie sind daher perfekt dazu geeignet, als Scan-Sklave für böse Buben zu fungieren.
All in all ... Drucker werden unterschätzt auch in Bezug auf die Sicherheit.

Nehmen wir ein großes Netzwerk wie beispielsweise ein Uninetzwerk. Automatische Portscans von ausserhalb sollte eigentlich automatisch ab irgendeinem bestimmten Noise-Level durch einen IP Block unterbunden werden. Die Frage ist jetzt nur: Was passiert wenn man einen verfügbaren Drucker im Netzwerk als Scan-Sklave missbraucht? Das Kritische beim Idle-Scan ist doch, dass der Drucker eine interne IP besitzt und somit auch interne Rechte ... eventuell.

Viele Implementierungen des TCP-Stacks bei Druckern sind quick-and-dirty. Die benötigte Vorraussetzung der incremtented IP ID ist bei vielen Druckern gegeben. Zudem, den Idle-Status besitzen viele Drucker sogar tagsüber bei laufendem Betrieb, da ja nicht auf allen Druckern rund um die Uhr gedruckt wird. Nachts werden Netzwerkdrucker meist vergessen auszuschalten und ideln daher so vor sich hin, bis irgendein Bösewicht von ausserhalb kommt und die Maschine für nen Idle-Scan missbraucht.

Es gibt nun weitere Probleme:
Eine große Institution, die Druckerports nach aussen freigibt, also eine offene Sicherheitspolitik fährt :D, wird sich einen Dreck um gefälschte SYN-Packete kümmern. Obwohl es imho recht einfach zu meistern wäre. Wenn am äussersten Gateway ein SYN-Packet auftaucht mit einer internen IP als Absender und Empfänger, dann muss doch was falsch laufen, oder? Spätestens hier sollte man dann entsprechende Maßnahmen ergreifen.
Die entscheidende Frage ist daher: Sind normale Portscans genauso noisy wie Idle-Scans? Und wie hoch ist die Chance dass gefälschte SYN-Packete bereits am Gateway erkannt werden?

MAKE @ HOPE

Wie man vielleicht gemerkt hat, versuche ich immer up-to-date zu bleiben was die HOPE angeht. Jetzt ist nen nettes vid mit dem MAKEZINE aufgetaucht, welches auch auf der HOPE vertreten war. Zusätzlich gibts auch noch paar Fotos.

Makezine is sowieso eine der Seiten, die ich jedem täglich empfehlen kann. Der Blog ist genial und publiziert täglich jede Menge Crash und geniale Dinge. :D