30. November 2007

Die Welt ist nicht genug

Category: Produkte — Christian @ 22:07

Windows XP zieht Vista bei sämtlichen Performance Tests die Hose aus. Anscheinend ist Vista noch viel schlechter als gedacht während XP mit dem zukünftigen SP3 sogar noch 10% Geschwindigkeitsgewinn bekommt. Und was sagt Microsoft dazu?

    Microsoft admits that the launch has not gone as well as the company would have liked. „Frankly, the world wasn’t 100 percent ready for Windows Vista,“ corporate vice president Mike Sievert said in a recent interview at Microsoft’s partner conference in Denver.

Interessante Sicht … auf die Idee, das Vista nicht 100% „ready“ gewesen sein könnte kommt bei Microsoft offensichtlich niemand mehr. Schon krass.
Alle Details bei CNet.

Write in C

Category: Allgemein — Christian @ 18:42

Das Wochenende kristallisiert sich langsam als Spaßtag heraus 😉 Heute deshalb ein paar Lieder für Programmierer

Write in C

When I find my code in tons of trouble,
Friends and colleagues come to me,
Speaking words of wisdom:
„Write in C“

As the deadline fast approaches,
And bugs are all that I can see,
Somewhere, someone whispers:
„Write in C.“

Write in C, write in C,
Write in C, oh, write in C.
LOGO’s dead and buried,
Write in C.

I used to write a lot of FORTRAN,
For science it worked flawlessly.
Try using it for graphics!
Write in C.

If you’ve just spent nearly 30 hours,
Debugging some assembly,
Soon you will be glad to
Write in C.

Write in C, Write in C,
Write in C, yeah, Write in C.
BASIC’s not the answer.
Write in C.

Write in C, Write in C,
Write in C, oh, Write in C
PASCAL won’t quite cut it.
Write in C.

Write in C, write in C,
Write in C, yeah, write in C.
Don’t even mention COBOL,
Write in C.

And when the screen is fuzzy,
And the editor is bugging me,
I’m sick of ones and zeroes,
Write in C.

A thousand people swear that T.P.
Seven is the one for me.
I hate the word PROCEDURE,
Write in C.

Write in C, write in C,
Write in C, yeah, write in C.
PL1 is 80’s,
Write in C.

Write in C, write in C,
Write in C, oh, write in C.
The government loves ADA,
Write in C.

(Melodie „Let it be“)

Yesterday

Yesterday, all those backups seemed a waste of pay.
Now my database has gone away – Oh I believe in yesterday.

Suddenly, there’re not half the files there used to be.
Now’s a milestone hanging over me – The system crashed so suddenly.
I pushed something wrong, what it’s been I couldn’t say.
Now all my data’s gone and I long for yesterday-ay-ay-ay.
Yesterday, the need for backups seemed so far away.
I thought my data allways here to stay – Now I believe in yesterday !

(Melodie „Yesterday“)

American Pie Hacker Style

Long, long, time ago, I can still remember
How UNIX used to make me smile…
And I knew that with a login name
That I could play those unix games
And maybe hack some programs for a while.
But February made me shiver
With every program I’d deliver
Bad news on the doorstep,
I couldn’t take one more spec…
I can’t remember getting smashed
When I heard about the system crash
And all the passwords got rehashed
The Day That UNIX Died…
And I was singing:

Chorus:
Bye, bye, nroff, rogue and vi
Gave my program to Phil Levy but Phil Levy was high,
The boys on the board were sayin‘ „kill this, goodbye.“
Singin‘ this’ll be the day that I die…
This’ll be the day that I die

Did you write the new games shell
And do you have faith in the manual?
If b:dennie tells you so…
Well, do you believe in UNIX C
Can hacking save you memory
And can you tell me why vi’s so slow
Well, I know that you’re in love with C
‚Cause I saw your code on UNIX B
You just kicked off your shoes
Man, you cleaned up every kludge!
I was a lonely young computer geek
With a program due ‚most every week
But I guess that I was meant to freak
The Day That UNIX Died
And I was singin:

(chorus)

Well, for ten weeks we’ve been in this class
The professor really is an ass.
But that’s not how it used to be…
When Ira Pohl taught in CIS 12
And user limits could go to hell
And there was still space on UNIX C.
And while the board was looking ‚round
The Chancellor brought the budget down
The classes were adjourned
Evaluations weren’t returned
And while Huffman read a book by Pohl
The CIS board made some prof’s heads roll
And we wrote programs that weren’t whole
The Day That UNIX Died
And we were singin’…

(chorus)

Helter skelter in the summer swelter
I went in the lab to find some shelter
Ninety degrees and risin‘ faaaaaasst!!!
C stayed up for ten whole days
The hackers really were amazed
Wonderin‘ how long it all would last.
Well, both the forums were really great
Nobody got us all irate
We had a stroke of luck
The system did not duck
‚Cause the hackers kept their code real clean
The UNDR-shell was really keen
Do you recall what was the scene
The Day That UNIX Died
And we were singin…

(chorus)

Our programs were all in one place,
UNIX had run out of space
With no time left to start again…
So, Jack be nimble, Jack be quick,
Use every programming trick
‚Cause UNIX may soon crash again…
And as I watched the system fill
My login process would be killed.
The system just went down
Consternation up at Crown“!!!
The hours went on into the night
And all that we could do was rite
I saw Dennie laughing with delight
The Day That UNIX Died
And he was singin’…

(chorus)

I met a girl who sang the blues
And I asked her for some stat lab news
But she just cursed and said „grow up“
I went down through the stat lab door
Where I’d learned of UNIX years before
But the man there said that UNIX wasn’t up
And in the halls the students screamed,
The majors cried and the hackers dreamed,
But not a word was spoken
The Vaxes all were broken
And the three folks I admire most
The Father, Frank, and a. G.’s ghost
They caught the last train for the coast
The Day That UNIX Died
And they were singin…

So bye, bye, nroff, rogue and vi
Gave my program to Phil Levy but Phil Levy was high.
The boys on the board were sayin‘ „kill this, goodbye“
Singin‘ this’ll be the day that I die…

(Melodie „American Pie“)

29. November 2007

Der Hushmail-Fall

Category: Datenschutz,Politik — Christian @ 17:59

Ich habe eine ganze Weile überlegt, was ich darüber schreiben will. Irgendwie beschäftigt und vor allem beunruhigt mich der Fall doch mehr als mir lieb ist. Darum der Eintrag.

Die Vorgeschichte

Hushmail bietet seinen Kunden sichere, verschlüsselten E-Mail, mit dem Slogan „Free Email with Privacy“. Der Nutzer lädt sich dazu ein Java-Applet auf seinen Client, dort wird die Mail verschlüsselt und nur die verschlüsselte Mail landet auf den Mailservern von Hushmail. Der Dienst verwendet starke Verschlüsselung und bewährte Algorithmen und Protokolle wie AES und OpenPGP. Aus diesem Grund wird Hushmail auch von Sicherheitsexperten und Privacy-Anwälten weltweit empfohlen und eingesetzt. Allerdings gibt es eine zweite Variante der Verschlüsselung, weil es einigen Nutzern zu mühsam war, das Java-Applet auf ihren Rechner zu installieren. Dabei erfolgt die Verschlüsselung serverseitig auf den Rechnern von Hushmail.

Der Fall

Wie u.a. The Register und Wired berichtet, wurde Hushmail jetzt per Gericht gezwungen, die Verschlüsselung soweit aufzubrechen, dass Beweisdaten für den illegalen Handel androider Steroide (also Dopingmittel) dem Gericht im Klartext vorliegen. In diesem Fall wurde vermutlich die serverseitige Verschlüsselung so modifiziert, dass die privaten Verschlüsselungskeys einzelner überwachter Nutzer im Klartext abgespeichert werden, so dass eine Entschlüsselung aller Nachrichten und E-Mails trivial möglich ist.

    „The key point, though, is that in the non-Java configuration, private key and passphrase operations are performed on the server-side. This requires that users place a higher level of trust in our servers as a trade off for the better usability they get from not having to install Java and load an applet,“ sagte Brian Smith, CTO von Hushmail gegenüber The Register.

Anders ausgedrückt … wer einem serverseitigen Dienst die Verschlüsselung von Daten anvertraut, ist selbst schuld. Der Server kann kompromittiert worden sein und Hacker können Zugriff auf alle Daten erhalten. Der Server kann per Gerichtsbescheid von Behörden überwacht werden ja es wäre sogar denkbar, dass die Betreiber eines solchen Dienstes selbst nicht ganz koscher sind. Wired stellt konkret die Frage:

    „But can the feds force Hushmail to modify the Java applet sent to a particular user, which could then capture and sends the user’s passphrase to Hushmail, then to the government?“

Die verwendete Java-Architektur lässt das zumindest technisch zu. Hushmail hat zwar den Source Code des Java-Applets veröffentlicht, aber ob das tatsächlich von Hushmail angebotene Applet aus diesem Source Code kompiliert wurde ist schwer festzustellen. Natürlich gibt es Java Decompiler, z.B. den DJ Java Decompiler den ich selbst gern verwende. Allerdings ist der Source Code manchmal nur schwer zu verstehen und Hintertüren können unter Umständen sogar im Zufallszahlengenerator versteckt sein.

Für den Nutzer stellt sich die konkrete Frage, kann man Hushmail in Zukunft noch trauen oder nicht.

Das Fazit

Der staatliche Trend, Nutzer immer weiter ausspähen zu wollen ist ungebrochen. Die folgende Tabelle soll ein paar Ideen geben, wo es gerade hingeht:

Es kann nicht mehr lange dauern, dann wird der Versuch, seine Privatsphäre zu erhalten bereits strafbar. Der Trend ist jedenfalls klar erkennbar. Ausgenommen sind übrigens nur Priester, Strafverteidiger und Abgeordnete. Hat eigentlich mal jemand die Straffälligkeitsquote bei Bundesinnenministern untersucht? Die muss deutlich über dem Bundesdurchschnitt liegen. Mir fallen da spontan Kanther (Spendenaffäre), Schily (Verfassungsbruch, Nebenverdienst) und Schäuble (schwarze Koffer) ein. 20%, das ist eine krasse Quote.

28. November 2007

MD5

Category: Allgemein,Hacking,Work — Christian @ 21:09

Nein, es geht diesmal nicht um Kollisionen, da schreibe ich ein andermal was dazu.

Steven Murdochs (muss man nicht kennen) Webseite ist gehackt worden und der Angreifer hat einen Account mit einem Passwort hinterlassen. Das Passwort war leider nur als MD5-Hash gespeichert und Steven kam nicht hinter das richtige Passwort. Also hat er den Hash bei Google eingegeben und mit ein wenig kucken, was da angezeigt wird kam er tatsächlich auf das richtige Passwort. So weit so langweilig.

Ich nutze die Gelegenheit nur, auf zwei Sachen hinzuweisen:

1. Salted Passwords!

2. MD5 Online Cracker (Rainbow Tables)

Ach ja, der Hash war „20f1aeb7819d7858684c898d1e98c1bb“ und das Passwort „Anthony“.

27. November 2007

How To Hack a Soda Machine

Category: Hacking,Offtopic — Christian @ 23:33

Hacking ist ja nicht nur Computer sondern alles was Technik aus macht … hier: ein Getränkeautomat.

Quelle: 5min

Dumpster Diving

Category: Datenschutz — Christian @ 22:58

Ich bin gerade in einem Workshop in einem Hotel in Garmisch-Partenkirchen. IT-Security, Datenschutz, die üblichen Themen. In diesem Hotel ist u.a. gerade eine Filmfirma untergebracht, die scheinen da irgendetwas zu planen. Dumm nur, dass genau gegenüber meines Seminarraums ein großer Kopierer mit einer noch größeren Mülltonne steht. Nachdem die mit Papier übergequollen ist, hab ich halt genötigter Weise einen Blick hineingeworfen.

Agency Name* Telefon* Rolle Gage
Real.-Life Galina P. 0170-422xxxx Komparse/Muc 75 auf 10h
Real.-Life Harald G. 0170-271xxxx Komparse/Muc 75 auf 10h
Real.-Life Willi P. 0171-160xxxx Komparse/Muc 75 auf 10h
ZBF Ludwig F. 01520-613xxxx Komparse/Muc 80 auf 10h
ZBF Peter B. 0173-896xxxx Komparse/Muc 80 auf 10h
ZBF Katrin S. 0177-443xxxx Komparse/Muc 100 auf 10h
ZBF Edwin S. 0179-992xxxx Komparse/Muc 80 auf 10h
ZBF Peter W. 0163-617xxxx Komparse/Muc 80 auf 10h
ZBF Horst W. 0175-201xxxx Komparse/Muc 80 auf 10h
Producers Friends Herman K. 0172-470xxxx Komparse/Muc 75 auf 10,5h
Producers Friends Barbara N. 0171-886xxxx Komparse/Muc 75 auf 10,5h
Producers Friends Jozsef S. 0163-172xxxx Komparse/Muc 75 auf 10,5h
Producers Friends Sonja L. 01577-407xxxx Komparse/Muc 75 auf 10,5h
Producers Friends Marc K. 0176-176xxxxx Komparse/Muc 75 auf 10,5h
Producers Friends Anna P. 0177-751xxxx Komparse/Muc 75 auf 10,5h
Producers Friends Gerda D. 0160-928xxxx Komparse/Muc 75 auf 10,5h
Rent-A-Face Jutta S. keine Komparse/Muc
Rent-A-Face Alfred S. keine Komparse/Muc
Rent-A-Face Eva S. keine Komparse/Muc
Actots&Arts Oliver K. keine Butler 150 auf 10h
ZBF Paul O. 0163-910xxxx Bodyguard 120 auf 10h
Producers Friends Konstantin S. 0151-144xxxx Butler 120 auf 10h
Producers Friends Stefan P. 0163-293xxxx Bodyguard 120 auf 10h
Producers Friends Monika M. 0176-243xxxx Maid 120 auf 10h
Producers Friends Desirée E. 0172-816xxxx Maid 120 auf 10h

Die Spalten mit * sind auf meinem Ausdruck komplett, außerdem steht „Produktion:Markenfilm“ und „Projekt:Werbefilm“ drüber.

Ich weiß nicht, ob 75 Euro für 10 Stunden als Komparse eine übliche Bezahlung ist. Generell scheint mir, handelt jedoch ZBF die besseren Verträge aus. 100 auf 10h klingt jedenfalls besser als 75 auf 10,5h. Der eine oder andere könnte da versucht sein zu wechseln. Die Schauspieler ganz unten bekommen vermutlich mehr, weil sie wichtigere Rollen spielen (Butler, Bodyguard und Maid). Wobei … was macht so eine Maid eigentlich? Vielleicht sollte ich die Desirée mal anrufen 🙂

Ach ja, Details zur Produktion habe ich keine … ich habe aber auch nicht weiter gesucht. „Real.-Life“ steht wirklich so auf dem Zettel. Vermutlich ist Reallife Media in Berlin gemeint. Und die ZBF gibt es meines Wissens so auch nicht mehr, die ist schon im Juni in der ZAV aufgegangen.

26. November 2007

The Anatomy of a Large-Scale Hypertextual Web Search Engine

Category: Internet — Christian @ 19:16

Googles Wurzeln an der Stanford University: Die wissenschaftliche Arbeit von Sergey Brin und Lawrence Page, die Google begründet hat.

Natürlich hat sich der Suchalgorithmus inzwischen mehrfach geändert und PageRank dient heute eher dazu, kommerziellen Verlinkern und potentiellen Mitbewerbern zu schaden als wirklich die Suchergebnisse zu steuern. Aber trotzdem spannend zu lesen, wie einfach und daher genial ein paar Ideen waren.

25. November 2007

Bürokommunikation

Category: Offtopic — Christian @ 22:05

Passend zum Sonntag: richtig formuliert ist halb gewonnen:

Falsch Richtig
Das ist der absolute Scheiß!!! Eine interessante Herausforderung!
Das mach ich sicher nicht, du Blödmann! Es gibt technische Gründe, die mir die Erledigung dieser Aufgabe leider nicht ermöglichen.
Dieser Trottel versteht überhaupt nichts! Er ist mit dem Problem noch nicht vertraut.
Du kennst dich überhaupt nichts aus, du Depp! Gehört das zu Ihren Kernkompetenzen?
Ich habe von Anfang an gewusst, dass das alles Sch…. ist. Verzeihung, ich hätte sie warnen können, wenn man mich involviert hätte.
Ist mir scheissegal! Ich sehe das ganz emotionslos.
Mir doch Wurscht, du Depp! Bedauerlicherweise kann ich Ihnen in diesem Punkte nicht weiterhelfen.
Na, hast du mit dem Chef geschlafen? Hat man endlich deine Kompetenz erkannt?
Verdammte Sch…, diese Vollidioten haben mir nichts gesagt Wir müssen unsere interne Kommunikation verbessern.
Was habe ich mit dem Dreck zu tun??? Ich war von Anfang an nicht an diesem Projekt beteiligt!
Wir sind im Arsch! Der Produktivitätsindex unseres Unternehmens zeigt einen sensiblen Rückgang.

Aus der IT kennen wir ähnliche Formulierungen:

  • Es handelt sich hier um ein Layer 8 Problem
  • Das Problem befindet sich zwischen Tastatur und Rückenlehne!
  • Es handelt sich um eine Inkompatibilität an der Stuhl-Tastatur-Schnittstelle

Die anderen Länder kennen ähnliches:

  • Englisch: „Problem Exists Between Keyboard And Chair“, kurz PEBKAC
  • Schwedisch: „skit bakom spakarna“, auf deutsch in etwa Scheiße am Kontrollpult

und das klingt doch viel besser als so böse Wörter über unfähige DAUs, oder? Hat noch irgendwer internationale Varianten anzubieten?

Staatsterrorismus

Category: Politik — Christian @ 20:45
    „Schon jetzt reagieren viele auf die Ausweitung der Überwachungs- und Kontrollinstrumente, indem sie versuchen, sich auf mehr oder minder geeignete Weise zu schützen. So ist selbst aus der Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) die effektivste Schutzmaßnahme gegen den Missbrauch von Mobiltelefonen „ein Vermeiden des Mitführens von Handys bei Gesprächen mit sensitivem Inhalt, die Detektion jedweder Mobilfunkaktivität im Raum … sowie das Deaktivieren sämtlicher drahtloser Schnittstellen von Mobilfunkgeräten.“ In den bekannt gewordenen 129a-Verfahren sind es jedoch gerade solche Versuche, die das Misstrauen der Sicherheitsbehörden wecken. Die Wahrung von Anonymität und Persönlichkeitsrechten gerät unter Generalverdacht. Die Freiheit selbst wird kriminalisiert.“

Der komplette Text von Andrej Holm kann bei Freitag 47 gelesen werden.

Habe ich schon erwähnt, dass ich den Rücktritt von Hr. Schäuble (wg. Gefahr für die Demokratie), Hr. Jung (wg. Verfassungsbruch), Fr. Zypries (wg. Unfähigkeit und Verharmlosung) und Fr. Merkel (wg. Inkompetenz) für zwingend notwendig halte?

(via Fefe)

Lustige Webserver-Fehler

Category: Hacking,Internet — Christian @ 18:16

Manche Webserver sind einfach übelst konfiguriert. Da wird man von Haus aus auf Fehlermeldungen gestoßen, die man sich kaum ausdenken kann. Eben hab ich mich ein wenig vertippt und statt www.spiegel.de www-spiegel.de eingegeben. Und bin prompt auf die Seite www.cityname24.de weitergeleitet worden. Mit folgender Fehlermeldung:

Nicht uninteressant:

  • Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
  • System.Data.OleDb.OleDbException
  • D:\www-kunden\Kunde11492\329\mtrport.aspx
  • Zeile 45: row[„zaehler“] = int_zaehler;
    Zeile 47: adapter.Update(dataset,“zaehler“);
    Zeile 49: myDataGrid.EditItemIndex = -1;

Da kann man schon was mit anfangen 🙂

Die Startseite sieht auch nicht besser aus:

Die Fehlermeldung sagt u.a.:

  • Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
  • System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
  • [NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.]
    _ASP.index_aspx.__Render__control1(HtmlTextWriter __output, Control parameterContainer) +9305
    System.Web.UI.Control.RenderChildren(HtmlTextWriter writer) +27
    System.Web.UI.Control.Render(HtmlTextWriter writer) +7
    System.Web.UI.Control.RenderControl(HtmlTextWriter writer) +243
    System.Web.UI.Page.ProcessRequestMain() +1926

Und dabei schreibt die Seite dem Entwickler doch sogar extra noch:

    „This error page might contain sensitive information because ASP.NET is configured to show verbose error messages using <customErrors mode=“Off“>. Consider using <customErrors mode=“On“/> or <customErrors mode=“RemoteOnly“/> in production environments.“

Da ist nichts mehr zu retten. Jetzt brauch ich nur noch einen kleinen Exploit.