LockCon 2008

Sicherheitskonferenzen aller Art gibts ja wie Sand am Meer. Ne eigene Lockpicking-Conf war mir allerdings noch nicht bekannt. Nun gibts sowas aber auch ... und die nennt sich "LockCon" und findet Anfang Oktober in den Niederlanden statt. Die Webseite hat einen einfachen Satz zur Beschreibung dieser Conf:

LockCon is an international conference about ... locks.

Ha, wer hätte es gedacht. :D Klingt alles in allem sehr interessant und zudem scheinen da hochrangige Lockpicker anzutanzen ... 1-2 Namen stachen mir direkt ins Gesicht. Wer Zeit hat, sollte da mal reinschauen ...

DrPic - Grafikprogramm online

Ich möchte hier nochmals kurz eine JavaScript-Bombe vorstellen, die interessante Funktionen bietet. DrPic.com bietet ein Grafikprogramm online im Browser. Das heisst, man wählt ein Bild aus welches man bearbeiten möchte und kann dann direkt im Browser loslegen. Nettes feature für Leute, die fix was bearbeiten möchten, aber kein Grafikprogramm installiert haben/wollen.

Pentest ultimative Linksektion

Ich find solche "Kompendien" ja immer wieder interessant und nützlich, da man mit STRG-F einfach kurz mal durchscrollen kann und die Chance doch recht groß ist, dass man das findet, was man sucht.
Bei diesem handelt es sich um ein Pentest-Kompendium mit allen möglichen interessanten Links. Reinschauen lohnt ...

Bild: Hamburg

1 = 0,999999 ... ?

Ich bin über einen überaus lustigen Post auf dieses Video gestoßen:


Sehr lustig ... vor allem die dazugehörige Seite.

Freibier für alle! RFI Schwachstellen für alle!

Ist schon erstaunlich was für die Szene so an Code produziert, um schnell und einfach fremde Server zu kompromittieren. Dieses Tool hier beispielsweise ermöglicht es einem Nutzer, ganz bequem per Webbrowser und ohne sonstige nötige Tools nach RFI Schwachstellen zu suchen. Es handelt sich hierbei um eine Serveranwendung die man mit den nötigen Parametern füttert:

Und wenn man die richtigen Parameter eingibt, kann man Glück haben und findet was:

Alles in allem ein nettes Tool, allerdings halt für den falschen Zweck. Würde man die Programmierbegeisterung mehr auf Tools verlagern, die nicht illegalen Zwecken dienen, wäre das sicherlich angebrachter.

Tanzender Prof auf der CRYPTO 2008? :D

Ich hab kürzlich ja erst nen kurzen Post über die CRYPTO gehabt. Auf D.J.B.`s Webseiten gibts jetzt ne Übersicht über die rump-session von damals. Nungut, klingt alles nicht sonderlich spektakulär bzw. witzig ... aber durch Zufall bin auf folgenden Weblog gestoßen und da erzählt der Autor doch recht komische Dinge über ein paar Leute von meiner Uni.

I left after the KeeLoq group went on stage singing and dancing on exotic tunes to present their COPACOBANA project...

WTF? Ich glaub da hab ich was verpasst. ;) Aber ehrlich gesagt kann ich mir das bei dem Prof auch recht gut vorstellen ... seine Vorlesungen war mitunter das Beste was ich an der Uni bisher gehört habe. Durch Zufall hab ich auch noch mitbekommen, dass es sogar im StudiVZ eine Fangruppe gibt. :D Nungut, wie dem auch sei ... verdient hat ers auf jeden Fall.
Achja, hier mal reinschauen lohnt auch: Craptology Journal :D

EeePC 901 externe WLAN Karte installieren für packet injection

Der EeePc bringt standardgemäß keine Wlankarte mit packet injection mit sich. Dieser Artikel zeigt sehr schön, wie man dieses Problem lösen kann. Sicherlich für jeden Bastler interessant. Alle weiteren Infos findet man im Artikel.

Vorbereitung USA - reisen wie in der Steinzeit :D

Ich habe heute beschlossen, sämtliche elektronischen Geräte auf meinem Trip in die USA daheim zu lassen. Mir ist das alles nicht geheuer, was das DHS da an neuen Gesetzen rausgebracht hat. Ich werde das Risiko nicht eingehen, dass am Flughafen jemand die Passwörter für meine Krypto-Partitionen möchte. Nein danke ... denn ich würde verweigern und womöglich im nächsten Flieger wieder Richtung Heimat sitzen. Was man da an Stories liest über Leute die ähnlich handelten ... ungeheuerlich.

Da reise ich lieber mit Stift und Papier, verzichte auf Emailzugriff und sonstige elektronische Aktionen. Hat wahrscheinlich auch seine Vorteile. Vielleicht nehm ich sogar nen "richtige" Buch mit - so richtig mit Story und ohne technische Details. Sollte vielleicht nicht direkt über Bin Laden oder sonstige böse Buben handeln. :D

Als zusätzliches Backup hab ich nach Anraten eines Kollegen hier, der eigentlich ständig in die USA reist, das Angebot der Conf angenommen und hab mir so einen Wisch zuschicken lassen, der bestätigt, dass ich ein kleiner Student bin und nix Böses vorhabe. Der Header sieht aus wie folgt:

Eigentlich traurig, dass man sich solche Gedanken machen muss. Vor allem, weil Deutschland ja Mitglied im Waiver Program ist. Naja ... was solls.

Piratenpartei - schon was von asymmetrischer Krypto gehört?

Was ich da so auf netzpolitik.org lesen darf, stimmt mich ein wenig verwirrt über den technischen Background des Herrn Kommilitonen. Ich zitier mal fix:

"Durch meinen aktuellen Auslandsaufenthalt kann ich mich mit meinem Anwalt nur elektronisch in Verbindung setzen. Nachdem all meine privaten E-Mail-Adressen gesperrt wurden, musste ich auf einen Freemailer ausweichen. Nur sind die in Deutschland zur Vorhaltung aller E-Mails an die Polizei verpflichtet. Ein vertrauliches Gespräch mit einem Anwalt ist damit unmöglich, und mir bleibt die Möglichkeit zur Verteidigung verwehrt."

Ok, also das Problem ist recht einfach. Der Betroffene befindet sich derzeit im Ausland und macht wahrscheinlich nen Praktikum oder Erasmus. :D Jetzt raiden die daheim seine Wohnung und blocken anscheinend auch seinen Unizugang. Das ist ein übeles Szenario imho. Allerdings behauptet er nun, er könne nicht mehr vertraulich mit seinem Anwalt kommunizieren.
Da frag ich doch berechtigt: Warum haben die nicht bereits im Vorherein PGP-Keys ausgetauscht? Warum vertraut er seinem Provider und den Freemailern aber nicht? Ich würde beiden nicht vertrauen. Wenns was gibt, was niemanden was angeht, dann geht das nur über PGP.
Wenn der Anwalt technisch nicht so bedarft ist, hätte man vielleicht im Vorherein Abhilfe schaffen sollen. Aber das ändert nichts an der Tatsache, dass was die Politik da in Bayern anstellt, ungeheuerlich ist. Und das alles nur wegen des Skype-PDFs was in der Tat interessant ist. Aber das stimmt mich traurig ... was mit unserem Rechtsstaat derzeit passiert.

WarCart - made by MIT

http://web.mit.edu/zacka/www/warcart.html

Sarah Palins Yahoo! Mailbox owned!

Die großen Amiblogs haben bereits darüber berichtet. Derzeit schwappt die Nachrichtenwelle rüber nach Deutschland. Wird wohl nur noch ne Frage von Stunden sein, bis auch die deutschen Medien darüber berichten.
Fakt ist, dass es einen Beitrag auf wikileaks.org gibt, indem Screenshots und Copy&Paste Nachrichten abgelichtet wurden, die belegen sollen, dass Palins privater Yahoo! Account kompromittiert wurde. Sarah Palin ist derzeit Gouverneurin von Alaska und Vizepräsidentschaftskandidatin der Republikaner. Schuld an dem ganzen Fiasko ist laut Wikileaks die Gruppe "anonymous", die vor kurzem in die Scientology-Hacks verwickelt war.
Den Account soll Paulin mittlerweile selbst gelöscht haben.

Mich wunder das eigentlich nicht wirklich. Deutsche Politiker haben, wie durch die Ypsilanti-Prank Geschichte, auch nicht wirklich den Überblick über den aktuellen Stand der Technik. Wie auch, sie sind schließlich Politiker.
Allerdings zeigen diese ganzen Geschichten doch sehr deutlich, dass das Internet mittlerweile so an Macht gewonnen hat, dass man sogar fürchtet, ganze Wahlkämpfe würden durch Blogger entschieden. Ob die Publikation privater Emails von Frau Palin ihre Chancen im Wahlkampf stärken wird, werden wir ja noch früh genug erfahren. Willkommen im Zeitalter des Information Warfare!

Schmeisst ihn zu den Wölfen ...

Diese Story erinnert mich sehr gut an meine eigene Uni, die sich vor ein paar Jahren auch ein ähnliches Ding leistete. Heise berichtete ...
Unsere kompetente IT-Sicherheitsführung hatte damals auch beschlossen, Anzeige gegen den Bösewicht zu stellen, nachdem er die Uni darauf hingewiesen hatte, dass sie doch mal ihre Solariskisten patchen sollten.
Es wurde nie nachgewiesen oder bestätigt, dass wirklich Schindluder mit den Daten betrieben wurde bzw. dass der Bösewicht die Daten überhaupt stahl und ich glaube sehr, sehr stark, dass dies auch niemald geschehen wäre.

Sagen wir es so: Der Fall an der Rub und der jetzige haben eines gemeinsam. Die Art und Weise des disclosures ist ein wenig "unpassend gewählt" worden. Der Studi hätte nicht vielleicht nicht ganz so naiv sein sollen, denn rein rechtlich hatte er eine Straftat begangen. Rein moralisch ist das wieder eine andere Frage ...

Was lernen wir daraus? Finger weg von bösen Dingen und wenn man aus versehen wo "reinrutscht"? Am besten Schnauze halten ... die heutige Welt ist nicht mehr für sowas gemacht.

Sicherheitsstudie 2020 veröffentlicht

Sicherheit - das boomende Geschäft in jeder Hinsicht für die nächsten Jahrzehnte. Dies bestätigt auch die Studie des Hamburger WeltWirtschaftsinstituts. Runterladen kann man sich das PDF hier.

Hier ein kurzer Einblick ins Inhaltsverzeichnis:

1. Einleitung 10
2. Das Bedürfnis nach Sicherheit 10
2.1 Strategien im Umgang mit Unsicherheit 11
2.1.1 Versicherung und Diversifikation von Risiken 11
2.1.2 Risikovermeidung und Gefahrenabwehr 14
3. Ausgewählte Risiken 16
3.1 Kriminalität in Deutschland 16
3.1.1 Entwicklung der Kriminalität 16
3.1.2 Ursachen der Kriminalität 20
3.1.3 Volkswirtschaftliche Kosten 23
3.1.4 Das Sicherheitsempfinden der Bürger 24
3.2 Terrorismus 27
3.2.1 Entwicklung und Ursachen des Terrorismus 27
3.2.2 Volkswirtschaftliche Kosten 30
3.3 IT-Sicherheit 33
3.3.1 Gefährdung von Daten 33
3.3.2 Schwachstellen und Bedrohungen von IT-Systemen 35
4. Trends 39
4.1 Kriminalität 39
4.2 Terror 41
4.3 Datensicherheit 42
Literatur- und Quellenverzeichnis Teil A 78

Bibdesk für Mac OS X rockt!

BibDesk is a bibliographic reference manager for Mac OS X. BibDesk is designed to help organize and use bibliographic databases in BibTeX .bib format.Ich kann das Baby nur empfehlen. Ich Trottel hab früher noch alles von Hand gemacht und ab und an fragt man sich dann, warum man immer so hässliche Errors bekommt. Damit is nun Schluß!
Was ich vor allem mag ist die Kommentarfunktion zu den einzelnen Quellen. So kann man einfache Notizen hinzufügen etc ...
Wer regelmäßig mit bib-Files meist in Verbindung mit LaTeX arbeitet, sollte sich die Software einfach mal ziehen. Gibts for free hier.

Ypsilanti Fiasko - Was hätte man besser machen sollen?

Ich sags mal ganz einfach: Auf die Authentizität achten!
Die gute Frau hat sich von ihren Sinnen täuschen lassen. Müntefering hätte es sein sollen, aber er war es nicht. Anstatt dessen war es jemand der eine ähnlich klingende Stimme hat. Nungut ... kann passieren.

Aber das Problem ist doch, dass Frau Ypsilanti sich in Sachen Authentizität nur auf die Stimme verlassen hat. Das wäre so, wie wenn man fürs Onlinebanking nur ein Passwort ohne Username eingeben müsste. Wer dieses kopieren kann, kann sich als mich ausgeben.
Und genau hier liegt das Problem: Eigentlich ist das Telefon nicht wirklich authentisch. Obgleich wir das in vielen Fällen gar nicht beachten - ich genausowenig. Man hört eine Stimme die einem bekannt vorkommt und fängt an zu kommunizieren. In Hinsicht auf Sicherheit ein Fiasko. Und genau das kann bei bekannten Leuten eben so enden wie berichtet.

Was wäre also die Lösung?
Kryptografische Protokolle ... digitale Signaturen, die Integrität und Authentizität liefern und die man vielleicht noch mit ein paar Algorithmen dazu pimpen kann, Vertraulichkeit zu gewährleisten. Klingt ziemlich deppert, ich weiss, aber gerade bei Politikern und seit dem Abhörwahn unserer Regierungen sicherlich angebracht.

Ich weiss noch, dass zu Anfang meines Studiums ein Prof seinen wiss. Mitarbeiter herzitierte und ihm auftrug, den Studenten doch mal das private "rote Telefon" vorzustellen. Ich hab jetzt mal gesucht ob ich den Link noch finde,bin dabei aber nur auf das hier gestoßen: Entwicklung und Implementierung eines Verschlüsselungssystems für den ISDN-Basisanschluss
Wie gesagt, das ging nur etwa in die gleiche Richtung. Das, das uns damals vorgestellt wurde, konnte DH und die komplette Palette an Protokollen ... lediglich an der Usability hats noch gelegen, wie immer halt.
Mir fehlt auch wieder der Link zu dem open source crypto phone - shit!

Ypsilanti s0ci4l engin33r3d

Ok, darüber muss man schreiben. Fippo hat mich heute mittag schon drauf angesprochen, aber ich kriegs mit der Zeit ja gerade net so gebacken.
Nundenn, die in letzter Zeit oft gescholtene Frau Ypsilanti hat nun nochmals eins vor die Klatsche bekommen und zwar richtig evil. Der Focus berichtet ... lest selbst!
Da haben sich paar Leutchen einen Spaß draus gemacht und die mal per Telefon ein wenig zu vereppeln. Irgendwie tut sie mir leid ... und ich bin ja nach wie noch am zweifeln, ob das nicht doch nen Fake ist. Hört sich irgendwie teilweise doch ein wenig abgehakt an.

Allerdings: Für mich ist das erste Sahne social-engineered, respekt! Und was auch allererste Sahne ist, ist der Kommentar von Parteisprecher Frank Steibli. Der forderte den Sender auf, alle Kopien des Mitschnitts aus dem Internet entfernen zu lassen.
Hervorragend, Herr Steibli, Sie haben das Internet verstanden. Da hat sich der VHS Kurs wohl gelohnt.

Das Vid gibts natürlich ... genau, auf YouTube.
UPDATE:
Suchen solltet Ihr selbst. Laut Gulli sollte man nicht direkt verlinken und zitieren. Ich bin kein Jurist daher nehm ich das Vid mal lieber raus.

Buch "History of Phone Phreaking"

2009 wird wohl ein neues Buch über die Geschichte des Phreakens geben. Interessant, was auf der Webseite des Autors bisher bereits zu sehen ist. Wir dürfen also gespannt sein.

Versteckte Firefox Funktion

Über diesen Blog bin ich auf ein interessantes Firefox Feature gestoßen. Wenn man in die Adresszeile folgenden JavaScript Code eingibt, kann man die Webseite direkt im Firefox abändern:

javascript:document.designMode='on'; void 0

Einfach mal ausprobieren - könnte eventuell mal nützlich werden.

interactive Kiosk Attack Tool

Die vergangene Blackhat'08 hat wieder mal ein interessantes Projekt ausgespuckt: Das interactive Kiosk Attack Tool
Was kann man damit machen? Grundsätzlich ist es für Audits von Kiosk-PCs gedacht, jaaa, und zu nichts anderem. Die Seite bietet diverse Direktlinks und Methoden an, mit dem sich sich das genutzte System bzw. der genutzte Browser automatisierter untersuchen lassen.
Schaut Euch einfach mal auf der Seite um und klickt ein wenig durch die Links.
Dei Seite sagt über das Tool folgendes:

iKAT was designed to aid security consultants with the task of auditing the security of internet Kiosk software and deployed Kiosk terminals.

iKAT is designed to provide access to the underlying operating system of a Kiosk terminal by invoking native OS functionality.

This tool should be used by Kiosk vendors/developers/suppliers to test the security of their own Kiosk products.
Use iKAT to securely configure your own Kiosk terminal.

Scientific American - the future of privacy

Ich lass das Wochenende easy angehen: Mir erstmal die aktuelle "Scientific American" ausm Geschäft besorgt und hab bis eben ein wenig drin geschmöckert. Das Sonderheft ist wirklich super geschrieben und die Autoren sind allesamt high-end.

Ich kann spontan sehr den Artikel von Simson L. Garfinkel empfehlen: "Information of the World - Unite!". Irgendwie hab ich ein absolutes Deja-Vu bekommen vor allem in Hinsicht auf unseren iX Artikel kürzlich. Beide Artikel, also der von Garfinkel und der von uns, behandeln Datenschutzproblematiken die entstehen können, wenn "data fusion" betrieben wird.
Was ein Zufall, dass beide Artikel im September veröffentlicht wurden und ähnliche Problematiken ansprechen.

Wie XML in LaTeX darstellen?

Das war eine meiner kleinen Fragen heute. Über einen kolumbianischen Kollegen bin ich dann auf highlight gestoßen. hightlight ist laut manpage ein universeller sourcecode konvertert. Also er konvertiert sämtlichen Source in formatierten Text. Klingt nett ... isses auch. Geschrieben wurde das Programm von Andre Simon.
Der Befehlssyntax is dann auch absolut easy:

highlight -L -i foobar.xml -o outfile.tex

Und schwups, hat man zwar hässlichen aber funktionierenden tex Code. I love it! Hat jemand Alternativen?

Do you know Ted? Avatar selbst erstellen

Cent hat mich auf ne nette Seite aufmerksam gemacht, wo man selbst sein Avatar erstellen kann: faceyourmanga.com
Ich finde dieses Onlinetool recht passend um sich Charaktere für Folien und Slides zu kreieren. Leider kann man sich das Bild nur per Mail schicken ... daher empfiehlt Cent, eine Webwerfadresse wie spambog.de zu nutzen, die auch mit Anhängen umgehen kann.

Also ich finde den Kollegen links ganz gut gelungen ... :D

21 about:config Firefox Hacks

Nette Sache um den eigenen Feuerfuchs ein wenig zu "pimpen". Zum Beispiel bringts das hier total, wenn man öfters an Firefox Extensions rumschraubt:

security.dialog_enable_delay = 0

Es setzt die Verzögerung auf 0 wenn man neue Extensions installiert. Aber auch das hier macht Sinn:

browser.search.openintab=True

Es öffnet Searchbar-Results in einem neuen Tab.

Interessant sind daher eventuell auch folgende ältere Posts:
http://d0mber.blogspot.com/2008/07/stopping-firefox-to-make-unrequested.html
http://d0mber.blogspot.com/2008/07/hssliches-prefetching-vom-feuerfuchs.html

ave2.cn exploit basis zielt auf Chinesen ab

ave2.cn, die evil domain des Tages, bietet ne Menge an Exploits für den unbedarften Besucher. Dynamoos Blogeintrag hat mich darauf aufmerksam gemacht und ich fand ein paar Minuten zum Nachforschen.
Die Seite is wie die heutzutage gängigen Methoden aufgebaut: Verwirrung stiften. Redirects, IFrames und JavaScript sorgen entsprechend dafür, dass ein wirklich enormes Exploitorchester auf einen niederrasselt.


Allerdings denke ich, dass diesmal eventuell mehr Chinesen fokusiert werden. Thunder, eine Software eines chinesischen Softwarehauses namens Xunlei, hat anscheinend ein BO Problem welches per Exploit auf ave2.cn direkt attackiert wird. Nett ... immer schön mit dem Trend gehn. :D

Wie kommt man in jeden Club?

Mal was Lustiges bzw. Interessantes:
Diese Jungs haben ausprobiert, wie leicht es doch ist mit irgendwelchem Blödsinnsgelabert ist, in verschiedene Clubs reinzukommen.
Die Techniken sind teilweise schon ein wenig "besonders" ... das Video ist daher sehr zu empfehlen.

Ich glaub, das Video wurde sogar mal bei Schneier erwähnt in Bezug auf Social Engineering Techniken. :D

Second Round: Spanische ATMs h4xx0ring?

Eiei, ich kann bei sowas einfach net wegschauen. Warum fühle ich mich nicht gut, wenn ich an so einem Bankautomaten Geld holen will? Sowas sticht einem doch förmlich ins Auge.
Mich würde interessieren wer solche "Pfuschereien" jemals in Deutschland bei Banken gesehen hat? Gut, ich könnts mir vorstellen, dass die $foo-Bank in der Provinz auf sowas nicht achtet ... aber naja, selbst die leisten sich sicherlich nicht solche Brocken.
Anscheinend sind solche Verhältnisse bei den Spaniern Standard. Wie ich kürzlich berichtete, gabs sowas ja schonmal.

Nungut, gabs da nicht mal einen Fall in den UK in dem Betrug begangen wurde indem man sich in die Leitung geklemmt hatte? Wäre in diesem Fall ja sehr einladend. Wie im letzten post bereits beschrieben wäre es auch interessant zu wissen, ob man gemeinsam an einem Router hängt?
Allerdings gings im letzten Post um Kiosk-PCs neben ATMs ... in diesem Fall is der ATM direkt angeklemmt. OMFG!
Ich hab mit der Bank schon schlechte Erfahrungen gemacht ... wenn man denen lieb und nett was sagen will, was sie eventuell falsch machen, kriegt man nette Emails um die Ohren gehauen.

Wo wissenschaftliche Papiere publizieren?

Genau das is ja oft die Frage mit der man sich auseinandersetzen muss, wenn man anfängt Papiere zu schreiben. Ich poste mal ein paar Links wo ich sicher bin, dass es sich um recht high-end confs und journals handelt:

• IEEE - immer gut, nie ein Fehler
• LNCS - Lecture Notes of Computer Science made by Springer-Mafia
  man sollte vor allem ein Blick auf die forthcoming proceedings list werfen
• ACM confs - immer gut
• alles was usenixt ...
• für crypto papiere: IACR - Orga von EuroCrypt, AsiaCrypt, Crypto

Da ich die Info allerdings auch nur vom Hören-Sagen habe, wäre ich dankbar falls mich jemand berichtigen könnte oder zusätzliche Infos hat.

Des weiteren lese ich zur Zeit "Academic Writing und Publishing" von James Hartley. Super Buch! Mehr dazu hoffentlich bald.

Alte Cryptoautomaten

Wer sich über ältere Kryptomodelle informieren möchte, ist auf dieser Seite sicherlich gut aufgehoben. Es gibt jede Menge Informationen, Links etc ... was recht interessant zum bissle stöbern ist. Auch die Funsection is rech empfehlenswert.
Vor allem fokusiert die Seite nicht wie viele andere nur auf der Enigma und den populären Maschinen.

CIA, DEA, NSA and FBI go Social Network - Web 2.0

Nur ganz fix: Auf dem rabenhorst gibts nen interessanten Artikel über die neuen Social Networking Absichten der geballten amerikanischen Geheimdienste. Klingt komisch, aber anscheinend machen die Jungs und Mädels ernst da drüben.
Ich empfehle den Artikel zu lesen und den Links zu folgen.

NPD Seiten mass SQL Injection?

Die Rechten im Netz haben es derzeit nicht leicht - seit des Defacements einer Blood&Honor Webseite, werden Webseiten rechter Organisationen wohl immer interessanter auch für böse Buben.

Gestern Nacht habe ich Informationen über eine Menge mögliche SQL Injections auf deutschen NPD Seiten erhalten. Ich hab das gehashte Passwort auf dem erhaltenen Bild ausgeblurrt, um möglichen Schaden zu verhindern.
Denn Fakt ist: Das Cracken von fremden Webseiten ist eine Straftat! Daran ändert auch die Tatsache nichts, dass es sich um rechte Webseiten handelt. Ich selbst hab die Lücken nicht verifiziert! Aber die Bilder sprechen für sich ...

Betroffen laut meiner Quelle sind folgende Webseiten:

Anscheinend bauen viele NPD Seiten auf dem gleichen Framework/CMS auf, welches einfach mal buggy ist. Daher gehe ich stark davon aus, dass weitere NPD Seiten betroffen sind.
Naja, ich muss ehrlich sagen, dass mich das nicht wirklich tangiert ob nun jemand NPD Webseiten im großen Stil defaced oder nicht. Wegen diesen Kollegen muss ich mich als Deutscher im Ausland schämen!

Update:
Auf dieser Webseite wird ein angebliches Interview mit einem der Bl&Ho Cracker veröffentlicht. Inwiefern die Quelle glaubenswürdig ist, weiss ich nicht. Was mich beim Lesen allerdings ein wenig stutzig machte, ist das Gerede von den NPD Accounts. Vor allem ist die Rede von "14 NPD Seiten". Die gleiche Anzahl wie oben in meinem Post.
Irgendwie riecht das alles strange ... :D

Responsible Disclosure beim Lock-Picking

Jap, sowas gibts dort auch. Das Problem ist allerdings, dass Modelle die bereits aufm Markt sind nicht mehr gepatcht werden können. Einmal buggy... immer buggy. Marc Weber Tobias hat das in dem Artikel recht eindrucksvoll ausgedrückt:

The concept of responsible disclosure is well and good for new locks that haven't hit the market yet. But that doesn't help you when the lock is already embedded in millions of facilities. They're not going to fix them,

Neben dieser ganzen digitalen Aushebelei von Sicherheitsvorkehrungen darf man die physikalischen Mechanismen nicht vergessen. Wenn die nicht mehr funktionieren, bringt auch so manches digitale "Schloß" nichts mehr.

Stressige Zeiten stehen bevor

Tja, vorbei sind sie tollen Tage mit "Strand, Gitarre, Domber und das Meer".

Ich werd wohl die nächsten Wochen zu nicht allzuviel kommen was Hobbies und Freizeit angeht. Meine letzten Wochen hier in Spanien liegen an und im Oktober gehts dann zurück nach Deutschland. Davor wollen aber noch etliche Projekte erledigt werden ...
In Deutschland erwartet mich dann trister Unialltag und vor allem das bisher nicht gelöste Problem der Wohnungs/Zimmersuche. Ich bin einfach ein "bissle" zu arg Schwabe ... :D

Und zu guter letzt hab ich jetzt auch noch erfahren, dass ich genau nach meiner Ankunft in Bochum 24 Stunden später in die USA fliegen werde und Teile der Ergebnisse meiner "Arbeit" hier in Spanien auf ner Conf in San Francisco vorstellen werde. Klingt gut, allerdings "jetlagged" mich das wahrscheinlich total aus der Bahn, so dass der Unialltag ein wenig warten muss.
Jaa, ich sehs schon kommen ... eieie, da will man übermotiviert zurück an die Uni und wird mit allen möglichen Mitteln aufgehalten. Schlimm ... die armen Studenten. :D

mt_srand() doch nicht so zufällig?

Ich hab jetzt mal den sehr lesenwerten Artikel von Stefan Esser gelesen und irgendwie hatte ich ein leichtes Deja-Vu. In dem Artikel geht es um Implementierungsfehler bei der PHP Funktion mt_srand(), welche Zufallszahlen produzieren soll.
Stefan beschreibt im Absatz "weak seeding" wie man seeds nicht generieren sollte und ... mein Gott, wie recht hat er. mt_srand(time()); beispielsweise ist eine nicht wirklich gute Art, Zufallszahlen zu generieren, da time() dem Angreifer bekannt ist. Buggt nun die eigentlich random() Funktion, hat man ein Problem. Mehr dazu nacher ...

Sehr interessant zu lesen ist auch der Abschnitt wie man den random-Status von PHP "aushorchen" kann, beispielsweise mit Keep-Alive HTTP requests. Oder wäre hätte gedacht, dass man gerade bei VHosts besonders mit dem Zufall auspassen muss?
Stefan stellt in seinem Artikel auch eine Möglichkeit vor, wie 2 Applikationen die den gleichen Zufallsgenerator besitzen, sich gegenseitig beeinflussen und somit der Sicherheit schaden können. Soweit die Theorie ... die Praxis sieht dann so aus.

Mein eigentliches Deja-Vu hatte ich bei mt_srand(time()). Es gibt tatsächlich Programmierer, die Einmal-Strings durch md5(time()) generieren. Was ist daran böse?
Nungut, man nehme einen zufälligen Link der jeden Monat am letzten Tag des Monats generiert wird und zwar durch md5(time()) oder sha1(time()). Das Problem bei der Benutzung von Hashfunktionen ist die Tatsache, dass wenn man den Ursprungstext kennt, man sehr leicht den Hash berechnen kann. time() wirft unixtimestamps zurück. Von denen gibts rein informationstheoretisch gesehen nicht wirklich viele, um genau zu sein in diesem Moment 1220457814 was ungefähr 31 Bit enspricht.
Allerdings, wenn man weiss, dass ein String jeden Monat in der Nacht vom vorletzten auf den letzten Tag generiert wird, lässt sich die Menge der Timestamps hervorragend einschränken. Und dadurch ist dann der 32-Hex Wert, der wirklich total zufällig aussieht, nicht mehr wirklich so zufällig.
Nicht zu fassen, dass sowas auch in recht kritischen Webanwendungen eingesetzt wird.

Weils grad so gut passt ...

Quelle: http://asset.soup.io/asset/0121/2165_689b.jpeg

OWASP Cookie Database

Wer gerne mit Sessions rumspielt, wird sich sicherlich für die OWASP Cookie Datenbank interessieren. Ziemlich geniale Sammlung verschiedenster Webserver und deren Cookie Output. Reinschauen lohnt sich! Mitmachen noch mehr!