Auf ORF.at hab ich kürzlich was Interessantes gelesen:
Die Bundesregierung mahnt Kinder, Eltern und Lehrer zu Vorsicht im Umgang mit Sozialen Netzwerken wie SchülerVZ.Das is ja wunderbar, dass die CDU auch so langsam drauf gekommen ist. Ansonsten ist der Artikel mit ein paar netten Zitaten geschmückt, dennoch nichts Neues. Auf ORF.at gibts zur Social Network Thematik noch weitere 2 Artikel, die lesenswert sind.
Da die Sache auf Grund der politisch doch sehr "instabilen" Lage vorerst auf Eis gelegt wurde, wollte ich meine Iran-Desert-Trip Linkliste hier mal posten. Ich hoffe, die Lage entspannt sich bald und ermöglicht so einen sicherlich sehr spannenden Wüstentrip.
http://www.tutorgig.com/ed/Dasht-e_Kavir
http://www.geocities.com/hamidboreiri/rigejenn.html
http://www.aliparsa.com/rig/irmap.jpg
http://www.iras.ucalgary.ca/~volk/sylvia/Kavir.htm
http://www.vizart.de/4wheel-adventures/iran_2007/iran_home.html
http://www.geo.de/GEO/fotografie/fotoshows/3821.html?t=img&p=2&pageview=
http://www.keshit.com/default.htm (sehr zu empfehlen - die Jungs sind fit!!)
http://www.irandeserts.com/en.htm
http://picasaweb.google.com/ali.shariat81/DesertLutPictures#
http://www.zistnc.com/
http://www.picsearch.com/pictures/travel/nature/deserts/dasht-e%20lut.html
Ich dachte schon, ich bin auf ner Phishing-Webseite:
Ich wollte mir eigentlich nur fix nen Lokalisten-Account anlegen und da boten die Lokalisten netterweise an, dass sie automatisch nach den Leuten in meinem Adressbuch suchen, wenn ich ihnen meine Email und mein Passwort gebe. Sie schreiben sogar: "deine daten werden nicht gespeichert!" Toller Service!!11
Das is ja mal nen klasse Service - ich kenne auch so paar Seiten, die fragen mich nach meinem Onlinebanking-Passwort und nach meiner PIN ... ich finde, es ist Zeit für ein Ende der "Servicewüste Deutschland". Lang lebe der Kundenservice!! Verteilt Passwörter!
Wer sich für BSI-Grundschutz mit Verinice interessiert und vielleicht sogar in diesem Bereich arbeitet, wird sich eventuell über folgende Veranstaltung freuen: Verinice.XP, veranstaltet von den SerNet-Leuten, die auch Verinice entwickeln, ist eine eine mehrtägige Veranstaltung im September zum Thema IT-Grundschutz. Wir werden mit 3 Leuten vom HGI und jeweils 3 Vorträgen dort anwesend sein.
Amazon Web Services, CohesiveFT und RightScale bieten am kommenden Dienstag, 30. Juni, ein kostenloses Webinar über Cloud Computing Security an. Mehr Infos und die Anmeldung gibts hier.
Durch Zufall drauf gestoßen - ich musste ehrlich gesagt beim Lesen ein wenig Schmunzeln. :D
Ich finde den PoC auf dieser Seite eigentlich recht anschaulich und wollte ihn Euch daher nicht vorenthalten. Er zeigt eigentlich sehr schön, wie einfach eine nützliche Erfindung wie FF-extensions missbraucht werden kann.
Ich frage mich jetzt, ob Antivir Software da eigentlich anschlägt? Wahrscheinlich eher nicht ...
PS: Die Seite is grad "down for maintenance" ... ich hoffe, das dauert nicht allzulange.
Das is wieder mal herrlich - während wir uns hier in Deutschland über das Chaos aufregen, was im Iran abgeht, sollte man eventuell noch fix erwähnen, dass wir Europäer die fortgeschrittene Technik für das Treten von Menschenrechten in den Iran geliefert haben. Das Ganze hat anscheinend erst Ende letzten Jahres stattgefunden ...
Nun kann man argumentieren, dass die Technik ursprünglich nicht für den Missbrauch von Menschenrechten ausgelegt ist, sondern zur Bekämpfung von "Terrorismus" ... das nennt man dann auch liebevoll "lawful intercept".
Aber dass man dies in benötigten Zeiten leicht missbrauchen kann, sollte man sich vielleicht vorher überlegen.
Ich war die letzten beiden Tage auf einer kleinen, aber feinen, invite-only Konferenz in Bonn auf der ungefähr 30 Leute aus der Anti-Malware-, Strafverfolgungs- und Anti-Cyber-Crime-Szene über aktuelle Entwicklungen im Bereich Botnetze usw diskutierten.
Die Referenten kamen aus dem europäischen Umland und die Agenda war recht gut gefüllt mit Talks aus verschiedenen Bereichen rund um Malware. Die Agenda, Talks etc. bleiben leider (aber auch aus gutem Grunde) unter Verschluss ...
Kurze Anmerkung: In Bezug auf Opera Unite konnte ich aus einer Diskussion totale Einigkeit in Hinsicht auf Sicherheit und das Gefahrenpotential erkennen. :D
Wissenschaftler von MIT, Stanford und Syracuse haben nen interessantes Tool inkl. Paper rausgebracht. Das Tool nennt sich Ardilla und soll anscheinend nicht nur statische Analyse machen, sondern den Code auch wirklich durch den Interpreter jagen und nach Lücken untersuchen. Interessant ... sample data gibts hier. Leider ist das Tool auf Grund von Lizenzproblemen noch nicht open-source, das soll aber noch werden. Mehr Infos auf DarkReading.
Seit kurzer Zeit in den Schlagzeilen: Opera will mit Version das Internet neu definieren. Das Ganze nennt sich "Opera Unite" und das Prinzip wird hier veranschaulicht. Paar nette Grafiken gibts hier.
Nun, eigentlich ist die Idee ja nicht schlecht, nur ohne mir das genauer angeschaut zu haben, schwirren mir direkt zig Bedenken entgegen. Also Server auf dem Client, und das auch noch im Browser? Das heisst, hier reichen die ganzen Browserschwachstellen nicht aus ... nein, nun importiert man sich Logik für die ganzen Serverschwachstellen auch noch. :D
Ich will hier mal den Sunbeltblog zitieren, ich denke die treffens auf den Punkt:
It’s a concept that might be as well-thought-out as sending customers on a hike in a safari park with backpacks full of raw meat.Mehr Bedenken und Anmerkungen gibts hier.
Aus einem der Reviews eines aktuellen Papers:
Putting things simply is important in communicating difficult concepts like privacy to ordinary users, so the importance of such an approach should not be derived from simplicity of the output metric.
Pascal, mein alter Spanien-Veteran, hats nun endlich geschafft. Seine abgefahrene Idee von wegen Lichtkunst mit Surfen zu vereinen ist nun Realität geworden. Seht selbst ... Congrats von meiner Seite!
Die Seite wirbt mit:
Safer and more productive browsing. See where links actually link to.In Zeiten von Zensursula und Konsorten sicherlich wichtig ...
Auf http://iconza.com gibts ein hübsches Iconset - und zwar für Umme. Größe und Farbe lässt sich easy anpassen ...
Burp kennt man im Bereich WebAppSec ... ein geniales Tool für Layer 7. Matasano will das Proxy-Prinzip nun auf TCP-Ebene runterstufen ... also im quasi eine Art Burp für TCP.
Das Ganze schimpft sich Port Forwarding Interceptor (PFI) und ist in Python geschrieben. Einfach mal ausprobieren ... lohnt sich!
Ich will nur fix aufzeigen, warum CCA-Angriffe auf Textbook-RSA funktionieren. Angreifer A möchte Plaintext m herausbekommen, zu welchem er Chiffretext c besitzt. Es gelten die CCA Voraussetzungen.
Angreifer A besitzt Folgendes:
c = m^e mod N, random r, c' = r^e * c mod N, m', N, e
wobei e*d = 1 mod phi(N)
Amit Klein hat ein interessantes Papier über Nutzer-Tracking veröffentlicht. Er macht sich dabei Schwächen in gängigen PRNGs zu Nutze und schafft es so, Nutzer teilweise zu tracken. Interessant ...
Vielleicht was für die Kaffeepausen:
Etwas reisserische Videos über Hacking/Spam/Abuse usw. gibts auf den Webseiten von stophcommerce.com (vorsicht, dicke Flashbombe). Auch Jonny darf ab und an mal was sagen ... :D
Auf der Full-Diclosure Mailingliste gabs vor einiger Zeit eine Person, die Folgendes behauptet:
Like Checkpoint Tmobile has been owned for some time. We have everything, their databases, confidental documents, scripts and programs from their servers,Oha, allerdings muss man da vorsichtig sein. Auf der FD-Mailingliste wurde schon so manches Märchen erzählt ... :D
financial documents up to 2009.
We already contacted with their competitors and they didn't show interest in buying their data -probably because the mails got to the wrong people- so now we are
offering them for the highest bidder.
Ich beschäftige mich in letzter Zeit mehr und mehr mit "data fusion" und deren Impact auf "Digital Forensics" ... klingt alles recht abgehoben, ich weiss.
Allerdings bin da auch auf was Greifbares gestoßen und zwar: Deep Email Miner.
The Deep Email Miner Application is a software solution for the multistaged analysis of an Email Corpus. Social network analysis and text mining techniques are connected to enable an in depth view into the underlying information.Interessant ...
Mwahaha, strongwebmail.com hat am 21. Mai 2009 behauptet, 10000$ demjenigen zu zahlen, der sich in das ultra-phone-secured email System einklinken kann. Nette Idee mit dem Telefonanruf:
In addition to protection from fraudsters, StrongWebmail.com protects against friendly-fraud where a boss or spouse snoops on your email. If one of these people tries to log into your account, you’ll receive a phone call alerting you that someone is trying to access your email (like a silent alarm).Prinzip ist klar oder? Haste Cookie, biste was ... haste kein Cookie, biste nix. So, der Witz an der Sache war ne XSS Lücke im Webmail-System, wie man auf zdnet.com nachlesen kann.
Plus, users only need to receive a verification call when they are logging in from an unrecognized computer. When logging in from a home or work computer, a cookie can be stored so that no verification call is required.
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.Sehr lustig ... da hätte man vielleicht weniger auf das Phone geachtet, sondern mehr auf Applikationssicherheit. :D
Im Scusi-Blog gabs gestern einen sehr interessanten Artikel über Sperrseiten für Glückspielseiten von den Italienern. Nein, die Liste ist anscheinend nicht geleakt sondern die gibts offiziell auf den Seiten der "AMMINISTRAZIONE AUTONOMA DEI MONOPOLI DI STATO". Alles klar? :D
Die Italiener dürfen also laut dieser Liste nicht www.tipp24.de besuchen. Soll ich jetzt lachen oder weinen?
Sehr lustig aufgemacht - und sicherlich eine Geschäftsidee bei den Unmengen an Irren die wir auf diesem Planeten haben. Kleiner Auszug:
We guarantee that you will experience at least two hijacking attempts by pirates or you'll receive an instant $1,000 refund upon arrival in Mombassa.oder
We repeat this for five days, making three complete passes past the entire Somali Coast. At night, the boat is fully lit and bottle rockets are shot every five minutes with loud disco music directionally beamed shoreside to attract maximum attention.Omfg! via fefe
Auf xssed.com gibts schon seit Längerem eine Liste großer griechischer Banken, die alle irgendwie ein Problem mit XSS und redirects haben. Ich bin da durch Zufall wieder mal wieder draufgekommen und hab auch direkt schon meinen Favoriten auserkoren: Die Proton Bank mit folgender Schwachstelle.
Das Geniale ist ja erstmal das self-signed Cert ... Respekt! Da hat man wahrscheinlich im Rahmen der Finanzkrise einfach mal ne Runde gespart. Der IFrame rundet die Sache dann ab ...
Die Proton Bank bekommt von mir daher ganze 5 Sicherheitspunkte für die Missachtung der grundlegendsten Sicherheitsvorkehrungen. Glückwunsch!
Keine aussergewöhnliche Seite, allerdings kann sie doch ab und an recht hilfreich sein.
Wieder einmal über 60,- Euro für ein Buch ausgegeben! Arghs! Allerdings erwarte ich bzw. bin ich mir eigentlich sicher, dass es sein Geld wert ist.
Das ganze schimpft sich "Introduction to Modern Cryptography: Principles and Protocols" von Lindell und Katz. Wer jetzt denkt, dass es sich dabei um "yet another crypto book" handelt, irrt. Es wurde die ganze Altertums-Krypto direkt mal weggelassen und mehr modernere Thematiken behandelt wie Beweise und Modelle (zb. ROM - random oracle model).
Vor kurzem habe ich mich auf einer Konferenz über die Möglichkeit unterhalten, verschlüsselte Daten über Voice-Kanäle zu transferrieren. Auf gut deutsch heisst das:
Wie bringe ich Ciphertext mit einem Modulier/Demodulierprozess "sicher" über einen Audiokanal. Sicher heisst hier primär erstmal, dass keine Bits gedreht werden und die Entschlüsselung nacher erfolgreich vollzogen werden kann.
GSM macht da eine Menge weiterer Probleme, da mehrere Kodier/Dekodierprozesse mit involviert sind, wie man in der oberen Abbildung sehen kann. Alles in Allem ist die Fragestellung doch sehr interessant, auch für andere Mögliche Anwendungen.
Einen Lösungsvorschlag zeigt dieses Paper von Katugampala et al ... der unter anderem noch weitere nette Papers auf seiner Webseite hat.
Vorbei ist der Konferenz-Mai ... es war ein super WE, allerdings sehr lange und recht anstrengend und ich muss sagen, das reicht jetzt erstmal. :D
Die ph-neutral war spannend, hervorragend organisiert und letztendlich eine riesen Gaudi, die man sich sicherlich wieder antun kann. Thx an J03rnch3n für die Unterkunft und die Gastfreundschaft ...
Mein persönliches Beileid geht an den armen Sprecher, dessen Namen wir hier lieber nicht nennen, auf den während seines Vortrags eine Vodka-DDos Attacke verübt wurde. :D
