Be sure to wear some flowers ...

Bin für paar Tage in San Francisco und werde auf der WCECS 2008 bissle was über digitale Wasserzeichen, NGNs und PKI erzählen. Das ganz findet auf dem Clark Kerr Campus an der University of California, Berkeley, statt und geht 3 Tage. Ich hoffe, ich finde neben dem "Konferenz-Stress" :-) noch ein wenig Zeit mir San Francisco anzuschauen. Hab bisher fast nur Gutes über diese Stadt gehört.
Mein Hotel hab ich wegen Überbuchung nach Downtown Oakland verlagert, direkt in der Nähe des Tribune Towers.
Es gibt so paar spezielle Dinge die ich mir auf jeden Fall reinziehen möchte. Eines davon ist beispielsweise die DNA Lounge, die von einem früheren Netscape Programmierer gegründet wurde. Klingt nach einem sehr abgefahrenen Platz, allein wenn man sich die Bilder anschaut sagt das schon eine Menge aus. :D
Ansonsten wird man mich wohl viel in Chinatown und in der Gegend zwischen Downtown San Francisco und den Piers antreffen. Falls jemand zufällig auch irgendwo in SF unterwegs sein wird die nächsten Tage ... einfach melden. :D

Achja, auf Grund der neuen DHS Gesetze werd ich ohne Laptop reisen - Emails werden daher nicht abgerufen.

OTP oder was?

Ich hab grad auf danisch.de einen interessanten Post über OTPs gelesen und warum diese anscheinend nicht informationstheoretisch sicher sind.
Nunja, da die comments auf dem Blog nur mit Anmeldung funktionieren und mir das echt zu umständlich ist, hier ein kurzer Beitrag dazu. Ich zitiere:

Nehmen wir an, wir suchen verschlüsselte Nachrichten, die unerlaubte Inhalte enthalten, beispielsweise eine Raubkopie eines Kinofilms. Nun fangen wir eine One-Time-Pad-Verschlüsselte Nachricht der Länge 5 Bit auf. Nun kann man auch ohne große Rechenleistung sagen, daß diese Nachricht jedenfalls nicht die gesuchten Daten enthalten kann - oder es jedenfalls sehr unwahrscheinlich ist. Was soll daran informationstheoretisch sicher sein?

Interessant, nur imho ist es eine Frage der Auslegung des Wortes "informationstheoretisch sicher". Was ist das?

Imho ist eine Chiffre informationstheoretisch sicher wenn p(m) = p_c(m) gilt, wobei p(m) die apriori-Wahrscheinlichkeit für die Häufigkeit des Auftretens einzelner Buchstaben aus dem Klartext m ist. p_c(m) hingegen definiert diese apriori-Wahrscheinlichkeit mit dem Chiffretext c als Grundlage.
Wenn nun die Wahrscheinlichkeit in beiden Fällen gleich ist, hat der Angreifer trotz des Wissens von c keine höhere Wahrscheinlichkeit erreicht.

Anscheinend ist so informationstheoretische Sicherheit definiert. Ich denke, dass danisch Theorie und Praxis ein wenig verwechselt. Das OTP wird gerne als "die" Chiffre dargestellt und in der Theorie häufig zitiert und als Beispiel genannt. Mit der Praxis hat das recht wenig zu tun, da sie in der Praxis sehr umständlich zu benutzen ist. Natürlich kann ich ausschließen, dass ein 5-Bit Chiffretext eine Filmdatei enthält. Aber kann ich ausschließen, dass der 5-Bit Chiffretext einen Teil einer Filmdatei darstellt? :D Fakt ist doch, dass somit der Angreifer durch den Erhalt von c nichts über den Klartext mitbekommt. Ich kann also die Erkenntnisse von danisch.de nicht wirklich nachvollziehen ...

Eine interessante mathematische Darstellung inkl. Beweis lässt sich auch hier finden.

iX Artikel: Böse Automaten - Masseninfektionen mit Web Exploit Toolkits

Christoph Wegener und ich haben erneut einen Artikel für das Magazin iX geschrieben. Diesml geht es um Web Exploit Toolkits (WET) und ihre Infektionsroutinen. Wir haben versucht den Artikel so allgemein wie möglich zu halten, er sollte daher gut verständlich für jede Art von Leser sein. :D

kelly slater wins 9th title at billabong pro mundaka 2008

Vid created by Kalle - jaja, die guten alten Zeiten in San Sebastian :D

Hacked by Terrorist Crew

Eiei, was is denn da passiert.

Bank Accounts in Spanien kündigen - leichtes Geld machen?

Meine Endphase hier in Spanien läuft an und ich bin fleissig am organisieren sämtlicher Dinge. Jetzt hab ich heute noch erfahren, dass es im November wieder für 5 Tage nach Italien geht ... herrlich. :D
Nungut, heute früh war ich meine Konto kündigen bei meiner Lieblingsbank über die ich ja bereits ein wenig berichtete. :) Ich war natürlich komplett bewaffnet mit allem möglichen Papierkrams und sämtlichen ID-cards, Ausweisen usw ...

Ich marschierte in die Bank, ging an den nächsten Schalter und teilte der anscheinend recht "neuen" Frau mit, dass ich meinen Bank-Account kündigen möchte. Ich hielt Ihr hierfür erstmal nur ein Schreiben hin, welches bestätigte, dass der Account eröffnet wurde.
Ich erwartete die Frage nach Ausweis, Karte etc. aber dem war nicht so. Das einzige, was zum Kündigen ausreichte, war der Schrieb, der die Eröffnung bestätigte. Herrlich!
Nach etwa 10 Minuten, die die nervöse Frau brauchte um mich zu fragen, was mit dem restlichen Geld passieren sollte, hatte sich eine kleine Traube an Menschen hinter mir angesammelt die langsam ungeduldig wurden. Es ging ihnen einfach ein wenig zu langsam.
Die Frau wurde immer nervöser und fuchtelte in ihren Papieren herum, bis letztendlich ihr Kollege nachhalf.
Nach rund 20 Minuten war ich aus der Bank wieder raus, hatte meinen Account gekündigt ohne einmal einen Ausweis oder sonstiges zu zeigen und war auch noch mit einer Menge Bargeld beladen. Genial! Viva Espania!

B. Schneier teil mal wieder aus - Bashing PMC

Dieses Mal musste wieder eine deutsche Firma dran glauben. :D
Ich hab mich prächtig amüsiert:

And -1 point for a security company requiring the use of Javascript, and not failing gracefully for a browser that doesn't have it enabled.

Eiei, an sowas hätte man aber auch denken sollen ... :D
Naja, des weiteren äusser Schneier, dass das alles nichts Neues wäre und PMC im Prinzip Snakeoil verbreitet.

Aber damit ist die Story noch nicht vorbei:
Anscheinend hat Schneier schon 2003 Gas gegeben, was hier nachzulesen ist. Daraufhin hat PMC versucht Schneier zu kontaktieren aber der gute Bruce hatte anscheinend keinen Bock. :D Naaaajaa.
Soll sich jeder sein eigenes Bild machen ...
Ich will mal fix die ersten Zeilen von der PMC Homepage kopieren, für die Leser, die kein Javascript besitzen. :D Ich kann mir gut vorstellen, dass der gute Bruce auch wegen solcher Sprüche kein Bock auf Kommunikation hatte:

PMC is the inventor of Polymorphic Encryption, a unique technology that compiles conceptually different and ultra-secure ciphers from the key. We thus take advantage of something truly ultimate: more algorithms than there are atoms in (known parts of) the universe. Nobody has yet been able to formulate anything that might even look like an attack.

Der haut auch gut rein hier:

The Ultimate Disk Encryption software with a native 64 bit encryption driver.
No Government Agency in this world can ever break TurboCrypt.

Interessant zu dem neue Press-Release sind auch die Comments auf Slashdot ...

The article points out that this attack only works with uncompressed bitmaps with extremely low entropy. This is hardly a cause for alarm.

Whew, thanks for pointing that out. Most of my encrypted porn is jpgs

LOL!
Oder das hier:

Oh, and if you follow the link from the article you'll find that this attack is being published by the makers of TurboCrypt, which was incompetently designed and thus vulnerable to this attack, but has now been fixed. The makers of this app (which you should probably stay away from, if they made such an elementary mistake then who knows what other problems it has) are essentially hyping this fairly inconsequential discovery in order to sell their product.
In conclusion: lame.

Ach herjehmine ... naja, wie gesagt, bildet Euch Eure Meinung. :D Ich bleib da doch lieber bei Truecrypt ...

Numb3rs - Mathe aus der Serie

Eine wirklich interessante Seite die die benutzte Mathe in der Serie "Numb3rs" genauer erklärt und erläutert. Ich hatte bisher leider noch keine Zeit die ganzen Staffeln mal durchzuschauen, aber das hole ich sicherlich noch nach. Anfangs dachte ich immer, dass das nur Blödsinn ist was dort gestreamt wird, aber anscheinend hat man doch ein wenig versucht, realitätsnah zu bleiben - zumindest ein bisschen. :D
Die Serie schauen und dann die Mathe dahinter zu lesen, oder am besten erst Mathe dann Serie guggen macht sicherlich Spaß. :) Schon jemand ausprobiert?

Mathe am Abend ...

Ich werf das mal in den Raum hier: Kommentare? Richtig? Falsch? :D

Schneier Blogeinträge als Buch

Der Bruce hat seine Blogeinträge gebündelt und verkauft die nun als Buch. Keine dumme Idee - aber 30$ ? Nee lass mal. Das is mir die Onlineversion mit Suchfunktion doch irgendwie lieber.

Research on Social Network Sites

Nur ganz fix: Links zu Forschungsthemen und Publikationen bzgl. Social Network Sites gibts hier in Massen. Und anscheinend wird die Seite in regelmässigen Abständen geupdatet.

Dreist - Postbank Account zu verkaufen

Auf diversen Quellen wurde ganz frisch ein gephishter Postbank Account zum Verkauf angeboten. Der Dealer war auch direkt so dreist und hat 2 Screenshots mit hochgeladen. Um die Privatsphäre des Opfers zu schonen, hier nur ein kleiner Ausschnitt.
Eigentlich nichts Besonderes, dennoch find ich die Dreistigkeit der Dealer ungemein. Vollständigen Vor- und Zunamen, Kontonummer, Bank und auch noch der Kontostand stehen nun so gut wie unlöschbar im Netz. Großes Kino! Normalerweise läuft das ja ein wenig "diskreter" ab ...

Der derzeitige Preis für den Account beläuft sich auf 10-15 Paypalaccounts, das ist jedenfalls das was der Dealer fordert. Für mich total übertrieben, da ja anscheinend keine zuständigen TANs zur Verfügung stehen.
Wahrscheinlich wird der Account sowieso in wenigen Stunden so gut wie nichts mehr wert sein, da die Postbank irgendwie bestimmt schon Wind davon bekommen hat und der Account somit sperren wird. Wollen wirs hoffen ...

Dreist, muss ich sagen. Ich hoffe, dass ich nie auf irgendwelchen "Seiten" auf einmal den Screenshot meines Onlinebankingaccounts sehen darf. :D Wobei beim armen Studentenpack sowieso nichts zu holen sein dürfte ... ;-)

Gescannte Pässe zu verkaufen?

Also würde mich ja schon interessieren wie der Autor folgender Nachricht sich das vorstellt.

Scan Passport? Sind das nun gescannte Pässe oder wie? Oder krieg ich nen richtigen Pass? Was die Identitätsdiebe sich da immer denken ... eieiei ... :D
Irgendwie drängt sich beim Lesen dieser Nachricht unaufhörlich folgender Adresse in meine Birne: http://freeworld.thc.org/thc-epassport/ Fragt sich nur warum ... :D

eeePC für Pentests?

Dieser Blogpost gibt ein paar nette Hinweise an Leute, die noch unschlüssig sind, welchen EeePC sie sich zulegen wollen. Über die Hardware-Hack-Methode hatte ich kürzlich erst einen Post verfasst. Hat jemand Praxiserfahrung mit dem Einsatz von eeePCs für Pentests?

Skype - die bösen Buben - halten sich nicht an die Vereinbarungen

Eiei ... ich finde diese Software eigentlich genial, weil sie gerade für Auslandsaufenthalte doch sehr den Geldbeutel schont. Allerdings nervt dieses closed-source Geblubber und vor allem seit der China-Skype-Tom Affäre schwindet mein Vertrauen so langsam.
Nungut, ich hab jetzt nur rein spasseshalber mir mal angeschaut, wie diese verschlüsselten Protokolle so ungefähr aussehen und ein wenig mit Wireshark gelauscht. Direkt am Anfang hats mich dann doch direkt erstmal vom Hocker gehauen.

Die Sache ist die:
Ich schalte prinzipiell in Software, die ich beziehe und installiere, den automatischen Updatemechanismus aus. Ich weiss, was ich installiere und halte mich diesbez. selbst auf dem Laufenden was neue Versionen angeht. Die Software muss also wegen mir nicht nach Hause telefonieren (dies gilt nicht für das eigentliche OS :D).
Nungut, wie ich weiss, hab ich bei Skype auch den automatischen Updatemechanismus ausgeschaltet, wie auf folgendem Bild zu sehen:

Warum also, verdammt nochmals, telefoniert mein Skype trotzdem nach Hause?
Es wird folgender HTTP Request an 204.9.163.158 abgesendet.

GET /ui/3/2.7.0.330/de/getlatestversion?format=plist&uhash=$hash&machine=$machine&osversion=$version HTTP/1.1

Der Server gibt dann XML zurück, was aussieht wie das hier z.b.:

Wer mal http://ui.skype.com//ui/3/2.7.0.330/de/getlatestversion über den Browser aufrut kann sich selbst ein Bild machen.
Frage nun an Euch: Könnt Ihr das bestätigen? Könnt Ihr mal mit Euren Versionen checken?

Irgendwie kanns das doch net sein. Ich hoffe immernoch, dass ich nen Fehler gemacht habe ... allerdings hab ich das nun 3mal ausprobiert mit immer dem selben Ergebniss.
Es wird also jedesmal der uhash (33-character WTF?!) übertragen der sich anscheinend nicht ändert (zumindest heute bei mir nicht). Wie dieser generiert wird, ist wegen closed-source ja sowieso nicht erklärbar. Allerdings erlaubt dieser doch wohl User-Tracking oder nicht? Tolle Wurst ... warum hält Software nicht das was es verspricht?

59 Webseiten die man gesehen haben muss ...

... so lautet die Überschrift des Artikels auf pcadvisor.co.uk. Ich fass mal den Artikel fix zusammen mit den Links, die ich interessant finde:

• Coupons for free zum Einkaufen
• Sprachen lernen
• enorme Video Linkliste
• nochmals online Videos
• online Video Suche
• Roadtrip Planer, klingt interessant :D
• youtube ähnlich, aber mit weniger Rammsch und die Qualität ist einfach besser. Reinklicken bei Langeweile lohnt

Buch: Formal Correctness of Security Protocols

Also ich hab es noch nicht durch, aber ich bin fleissig dabei und ich muss sagen - echt geniales Buch. Is imho besser wie jedes Märchen da absolut "fesselnd" geschrieben. Man kann irgendwie die Augen nicht ganz von lassen. Ich hoffe, dass das so bleibt und ich demnächst mal nen vollständigen Bericht abliefern kann.
Ich weiss, dass das ein wenig komisch klingt, aber auch Sachbücher können fesseln. Das heisst, man diskutiert soz. mit dem Buch selbst. "Was könnte er nun meinen ... " usw ... und am Ende ist man immer um eine Erfahrung reicher, egal ob man Recht hatte oder nicht. :D
Genau das Richtige für Abende wo man krank daheim liegt und keine Lust hat auf Arbeiten. *g*

Update:
Wer das grad nicht zur Hand hat oder bereits gelesen hat, dem empfehle ich noch:

C. Boyd and A. Mathuria. Protocols for Authentication and Key Establishment. Information Security and Cryptography Series. Springer-Verlag, 2003.

Millionenschwerer Online Poker Betrug - musste ja mal kommen

Wie der Pressetext berichtet, wurde anscheinend ein millionenschwerer Pokerbetrug aufgedeckt und zwar von einem Herren namens Michael Josem. Die ganze Story ist hier zu lesen. Ich selbst hab ja so ziemlich keine Ahnung von Glücksspiel :D, hab daher nur mal kurz drübergescrollt. Der Text ist auch echt schwierig zu lesen auf kleinen Displays wie meinem.
Falls jemand mehr Ahnung vom Pokern hat und was dazu sagen kann, bescheid geben. Prinzipiell find ich das schon ne interessante Sache ...

Achja, hier gibts ein paar mehr Infos für den flotten Leser: http://www.20min.ch/digital/webpage/story/24658021

Was haben der Spiegel, der Stern und die AOK gemeinsam?

Der Kalle hat mich da gestern auf was Nettes hingewiesen:
spiegel.de und Stern.de hatten gestern beide folgende Bilder auf ihrer Webseite.


Richtig! Beide Bilder stammen aus dem gleichen Stock-Image Verzeichnis. Das war das worauf mich Kalle hinwies. Allerdings machte mich das AOK Kärtchen ein wenig stutzig. Denn die Inhaberin, Frau $ Pleiss mit der Nummer 221878885 ist auf beiden Bildern zu sehen. Hmm, muss das sein? Namen und Kartennummer aufzeigen? Die Kartennummer ist vollständig zu sehen, der Nachname auch. Auf Grund der Tatsache, dass auf dem oberen Bild "rin" zu sehen ist, stellte ich mir die Frage, welche Namen mit "rin" aufhören. Katrin? Kathrin? Karin?Carin? :-) Katrin liegt imho aber am nächsten ... mit ein bisschen Googlen könnte man da mehr finden, oder nicht? :D Das überlasse ich dem geschulten Leser. :)

Ich denke auch, dass ein Bösewicht mit einem einfachen Anruf bei der AOK verifizieren könnte, ob der Account besteht oder nicht. Alles reine Theorie natürlich ... verdammt, ich such grad meine alten Post über "Phun with Phone and Phingers". *g*

Ich hoffe ja wirklich, dass das alles Fakeaccounts sind und dass nicht die arme Stock-Image-Praktikantin da ihre Karte herhalten musste.

Harding MacOSX made by NSA

Nun hat die NSA auch noch nen Guide rausgebracht, wie man Mac OS X 10.5 (Leopard) gegen Angreifer stählt. Interessante Sache sich das mal durchzulesen. Und was mich mal wieder bestätigt:

The best way to disable an integrated iSight camera is to have
an Apple-certified technician remove it. Placing opaque tape
over the camera is less secure but still helpful.

Ha! Soll noch einer mal sagen ich wäre paranoid, Klebeband über meine Kamera zu kleben. Sogar die NSA sagt, das wäre hilfreich :D

Wann Co-Autor und wann nicht?

Auch sehr lesenswert: When does Alice deserve to be a co-author?
Nette Tips von wegen "wann verdient man als Co-Autor erwähnt zu werden".

Böse Buben gegen böse Buben

Mal wieder typisch! Nachdem die bösen Jungs sich gegenseitig die gephishten Accounts abzogen, portiert man diese Strategie nun auf PHP-Shells. Ja, das sind diese netten Scripte, die eigentlich mal verzweifelten Admins helfen sollten (wobei ich das mehr als fragwürdig finde - shell per PHP - igitt!) nun aber vermehrt für RFI Kompromittierungen verantwortlich sind.
Eigentlich nicht verwunderlich ... so bleibt die Malware wenigstens in der Familie. :D

Studie: Social-Networking-Portale gefährden Privatsphäre

Ok, das is alles nix Neues, aber ich hab mir nun doch mal diese SIT Fraunhofer Studie angetan und ich muss sagen, interessant. Diese Kontrollmatrizen finde in der Studie sind recht hilfreich, um gezielt Infos über den Stand des Datenschutzes bei einem Service zu finden.
In den Referenzen hab ich dann sogar unseren iX Artikel wiedergefunden. :D Also, bei Langeweile mal reinklicken ... lohnt sich! Vor allem meine Erwartungen bzgl. StudiVZ wurden total erfüllt.

SSL nutzlos für Schutz von statischem Content?!

Ich hab hier eine sehr interessante Geschichte gelesen, wie man trotz SSL Verschlüsselung herausfinden kann, was auf Pirate-Bay gezogen wird. Der wichtigste Satz ist imho folgender:

HTTPS is quite useless for protecting static and public content.

Das Problem ist anscheinend, dass man per SSL die verschiedenen Torrents ziehen kann und dann einfach mit gesnifften SSL Paketen vergleicht (length). Da die Paketsize immer die gleiche ist, kann man somit herausfinden, welche .torrent Datei gezogen wurde.
Nettes Feature ... aber prinzipiell einfach zu lösen. Einfach ein wenig Zufall in die Datei reinpacken und gut is.

Phoneypot - sowas gibts auch noch

Ha, wer hätte es gedacht. :D Ich bin durch Zufall auf diesen Link hier gestoßen. Persönlich finde ich das ja echt erstaunlich, dass unser Konzept/Begriff von damals nun in einem online-Lexikon steht. :D So wird der Phoneypot niemals sterben ... :-)