Mitternachtshacking

Ich bin ja generell recht knauserig was Links auf andere Blogs betrifft aber der folgende ist es Wert, aufgenommen zu werden:

Darknet – The Darkside

Und jetzt auch in diesem Kino rechts in der Blogroll-Spalte.

Joey deVilla hat auf Global Nerdy eine Liste von Begriffen zusammengetragen, die von Programmierern umgedeutet werden. Darunter so schöne wie:

• Bugfoot: A bug that isn’t reproducible and has been sighted by only one person.
• Counterbug: A defensive move useful for code reviews. If someone reviewing your code presents you with a bug that’s your fault, you counter with a counterbug: a bug caused by the reviewer.
• Ghetto Code: A particularly inelegant and obviously suboptimal section of code that still meets the requirements.

Mir fällt da in deutscher Sprache gar nicht viel ein:

• Spaghetticode: Unstrukturierter Code kreuz und quer durch die Gegend springt. Dafür gibt es sogar einen Wikipedia-Eintrag.

Auch das Jargon-File wurde nur auf Englisch gepflegt und mir ist keine deutsche Variante bekannt. Vielleicht sollte man da mal sammeln. Aber dann bitte nur Programmiererbegriffe, keinen Gamer-Slang wie Boons oder Noobs.

Vielleicht ist das gar keine so dumme Idee, auch wenn es auf den ersten Blick absurd erscheint.

Medizintechnik wird immer komplexer, immer abhängiger von Computern und immer mehr wird über Funk gesteuert. Ich habe unter dem Titel „Herzschrittmacher hacken“ darüber schon mal 2008 was geschrieben. Mit dem dummen Problem, dass man die Funverbindung zur Remote-Konfiguration eines Herzschrittmachers zwar ganz einfach verschlüsseln kann, andererseits aber gerade dann das Verschlüsselungspasswort braucht, wenn die Person gerade bewusstlos ist und weder das Passwort sagen kann noch, wo es aufgeschrieben ist. Und garantiert ist der Zettel dann nirgendwo auffindbar.

Stuart Schechter, Mitarbeiter einer Microsoft Forschungsgruppe hat deshalb vorgeschlagen (PDF), das Passwort einfach auf die Haut zu tätowieren, damit im Notfall auf den Herzschrittmacher oder andere implantierte Geräte zugegriffen werden kann. Das Passwort für medizinische Geräte muss schließlich nicht so oft geändert werden. Und ja, warum eigentlich nicht?

Allerdings eröffnet das ganz neue Social Engineering Angriffe mit leicht bekleideten bezahlten Damen, die das Passwort herausfinden sollen um z.B. einen Mafiaboss remote auszuschalten …

Satire

Am 31.03.2010 zwischen etwa 03:00 und 04:00 Uhr deutscher Zeit gab es eine schwere mittlere geringfügige vernachlässigbare Datenpanne bei Facebook. Die E-Mail-Adressen der etwa 400 Millionen Mitglieder waren kurze Zeit kostenlos abrufbar. Normalerweise sind diese Adressen nur für viel Geld zu kaufen gut geschützt. Das Feature Der Bug wurde innerhalb weniger Minuten korrigiert und behoben. Die Abrufe der laut AGB Facebook gehörenden E-Mail-Adressen werden nachberechnet. Die Nutzer von Facebook können sich in den nächsten Tagen auf interessante neue Angebote vorbereiten, angefangen von Geschlechtsteilvergrößerungen über günstige Aktien der AsiaPac Capital Services bis hin zu Medikamenten im günstigen China-Versand. Facebook hat bereits erklärt, diesen zusätzlichen Mitgliederservice dauerhaft im kostenfreien Bereich zu erhalten.

Ein frei erfundener Sprecher von Facebook hätte dazu folgende Stellungnahme abgeben können: „Die Weitergabe der E-Mail-Adressen unserer Nutzer ist ein kostenloser zusätzlicher Service für unsere Mitglieder, die dadurch auf die günstigsten Angebote im Internet aufmerksam gemacht werden und so durch Facebook viel Geld sparen können.“Hat er aber nicht.

Ich empfehle ja, statt Facebook diesen Robot Messenger zu verwenden:

Der Robot Messenger wurde erstmals 1935 in London aufgestellt (laut dem Modern Mechanix  Blog) und der Datenschutz ist mindestens genausogut wie bei Facebook.

(via Heise nach Tipp von Sören)

Spam für das Social Network

Mit Ping.fm gibt es eine tolle neue Spam-Plattform. Golem schreibt dazu „mit 100 Eingabemöglichkeiten 45 Plattformen ansteuern“. Da kann es nicht mehr lange dauern bis die alle vollgespamt werden. Was für ein Glück, dass ich mich aus diesen asozialen Netzwerken bisher weitgehend fernhalten konnte.

Wer klaut schon Viren?

Anscheinend gar nicht so wenige, wenn man dem Artikel auf The Register glauben darf. Das Trojaner-Bastelkit Zeus kommt inzwischen mit einer hardware-basierten Lizenzverwaltung die ähnlich wie Windows auf einem Activation Key basiert. Damit sollen die teuren Funktionen wie Botnet-Fernsteuerung ($ 4000), Echtzeit-Plünderung mittels Jabber ($ 500), Formulareingaben auslesen in Firefox ($ 2000) und Komplettfernsteuerung des fremden Rechners ($ 10000) geschützt werden. Nice.

Schadsoftware direkt vom Hersteller

Weil wir gerade beim Thema sind: in Spanien hat Vodafone Mobiltelefone mit einer Speicherkarte verkauft, auf dem der Conficker-Wurm schon vorinstalliert war. Zum Glück hat das Telefon eine Mitarbeiterin von Panda Security gekauft. Und zum ganz großen Glück hat der Panda-Scanner das Schadprogramm erkannt und ist nicht in den Wolken steckengeblieben.

Audio Captchas für Schwerhörige

Microsoft hat auch gerade ein Problem mit einem Botnetz, in diesem Fall ist es das Pushdo Spam-Botnetz. Das hat nämlich eine recht effiziente Methode gefunden, die Audio Captchas der Microsoft Live Dienste zu zerlegen. Eine Antwortzeit von nur 10 Sekunden bei 50% Erfolgsquote ist schon krass gut für einen automatischen Dienst, der Postfächer nur anlegt um darüber Spam zu verschicken. Ich finde ja, man sollte das Internet für Blinde verbieten. Dann braucht es auch keine Audio Captchas mehr.

Ein ehemaliger Mitarbeiter eines Autohauses in Texas hat die ausgelieferten Autos mittels einer Fernsteuerung abgeschaltet, die eigentlich dazu genutzt wird Fahrzeuge zurück zu bekommen deren Raten nicht mehr bezahlt werden. Steht in der PC-Welt. Und mit mehr Details bei Wired.

Der Rest war einfach. Die Polizei hat gekuckt mit welchem Login der Täter angemeldet war (der Account eines Ex-Kollegen), die IP-Adresse zurückverfolgt (ein AT&T-Anschluß) und prompt den Übeltäter erwischt (Mr. Omar Ramos-Lopez). Das kann sogar die Pozilei. Aber der gute Ex-Mitarbeiter hat sich jetzt auch nicht besonders intelligent angestellt.

Eine ähnliche Erfahrung hat die UBS mit Roger Duronio gemacht. (Ex-)Mitarbeiter sind manchmal eben gefährlich. Und was man dagegen tun kann? Tja … am besten macht man’s wohl wie Nokia in Bochum.

(Danke Sören)

Diesen Link zu Coding Horror habe ich schon länger archiviert, als Nachtrag zu meinem DoS-Artikel kann ich ihn endlich verwenden.

Rate Limiting, d.h. die Beschränkung von gleichzeitig ausgeführten Operationen z.B. Datenbankabfragen in einer Webapplikation kann ebenfalls als Maßnahme gegen Denial-of-Service Angriffe genutzt werden. Das Problem ist nur, zu wissen wann „zu viel“ wirklich zu viel ist. Was ist normales Verhalten (das sich im Laufe der Zeit ändern kann) und was ist ein tatsächlicher Angriff?

Jeff Atwood visualisiert das Problem mit einem Schild an der Eingangstür eines Ladens:

All the signs have various forms of this printed on them: Only 3 students at a time in the store please

Die Vorstellung ist aber auch zu lustig:

• Couldn’t three morally bankrupt students shoplift just as effectively as four?
• How do you tell who is a student? Is it based purely on perception of age?
• Do we expect this rule to be self-enforcing? Will the fourth student walk into the store, identify three other students, and then decide to leave?

Das kann gar keine präzise Wissenschaft sein 🙂

Heiraten ist eigentlich ganz einfach. Also, jetzt so aus Sicht des Datenbankverwalters, in dessen Datenbank die Hochzeiten gespeichert werden sollen. Ein Mann, eine Frau, Hochzeitsdatum, fertig. Oder?

Naja, ein wenig komplizierter ist es schon. Beispielsweise gibt es gleichgeschlechtliche Lebensgemeinschaften. Also gut, eine Person, noch eine Person, Hochzeitsdatum, fertig. Oder?

Naja, ein klein wenig komplizierter ist es doch nicht. Beispielsweise darf sich eine Person nicht selbst heiraten. Bei Mann und Frau war das automatisch ausgeschlossen. Jetzt wird das schwierig. Also gut, ein wenig Application-Logic, fertig.

Äh ja, aber die Software soll universell eingesetzt werden. Beispielsweise bei den Mormonen in Utah. Oder in Saudi-Arabien. Da gibt es unter Umständen mehrere die miteinander verheiratet sind (auch wenn meistens nur ein Mann dabei ist). Also gut, dann wird eben die Ehe als Verbindung zwischen einer Person a (männlich/weiblich) und n Personen (ebenfalls männlich oder weiblich) definiert. Dabei dürfen die n Personen nicht Person a enthalten.

Ja gut, aber was ist wenn sich eine Person in n scheiden lässt und jemand anderes heiratet? Und ist Person x (in n) die mit Person a verheiratet ist dann gleichzeitig mit Person y (in n) verheiratet? Oder kann Person x (in n) Person y (in n) heiraten und sich dann von Person a scheiden lassen?

Oder wie? Oder was? Gay marriage: the database engineering perspective. Rein technisch natürlich. Gegen heiraten bin ich geimpft.

Symantec schließt einen großen Teil von SecurityFocus und führt einige Inhalte in Symantec Connect über. Zumindest die Bugtraq-Mailingliste und die Vulnerability Datenbank sollen aber (vermutlich erstmal) erhalten bleiben.

Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Mein Security Kalender 2010 ist mit leichter Verspätung online aber im Januar war eh nicht viel zu erwarten. Falls ich Termine vergessen oder nicht im Netz gefunden habe, bitte entweder hier in die Kommentare oder mir per Mail schicken. Ich nehme die gerne mit auf.