18. November 2007
Langsam fängt mir dieses lustige „Ethical“ auf den Senkel zu gehen … gerade aus dem angelsächsischen Raum schwemmt es da lauter so Unsinn herüber.
Certfied Ethical Hacker zum Beispiel. Ich hab so ein Zertifikat. Ich glaube, das darf ich sogar auf meine Visitenkarte drucken. Mach ich natürlich nicht, wäre mir peinlich. Ich weiß auch gar nicht, worauf sich das Zertifikat nun bezieht … bin ich jetzt zertifizierter Hacker der (hoffentlich) ethisch ist oder zertifiziert ethisch und (hoffentlich) Hacker? Und wie zertifiziert man ethisch? Beichten musste ich jedenfalls nicht.
Oder mein CISSP. Der Certified Information Systems Security Professional. Da muss man auch angeben, dass man keinen kriminellen Hintergrund hat sondern sich immer ethisch verhalten hat. Nach US-Recht oder nach russischem Recht?
Und jetzt gibt es bei den Briten ganz neu CREST, das Council of Registered Ethical Security Testers. Das sind vermutlich die, die sich vor lauter Ethik gar nicht mehr trauen, Hackingtools aus dem Internet herunterzuladen. Die Mitgliederliste ist jedenfalls bezeichnend: KPMG, Ernst & Young (genau, das sind die mit den verlorenen Notebooks), Insight (Siemens), Symantec und Co. Die einzigen relevanten Pentester die ich da finde sind NTA Monitor (von denen ist z.B. ike-scan) und vielleicht noch NGS Software (mit David Lichtfield, der die ganzen Oracle Bugs findet).
Ich persönlich glaube ja mehr an das 11. Gebot: „Lass Dich nicht erwischen“. Andererseits … mit so einem Dachverband könnte man vielleicht bessere Lobby-Arbeit gegen den StGB 202c und ähnliche Schwachsinnsgesetze unserer Bummelregierung machen. Von der Bitkom kann man ja leider nichts brauchbares erwarten, solange der Laden von Branchengrößen wie Microsoft und SAP dominiert wird, die natürlich gegen Hackertools sind, weil besonders die eigenen Produkte angegriffen werden.
Naja, solange es nicht den Dachverband der ethischen Windows-Administratoren („Viren ausrotten? Das geht nicht, auch diese Geschöpfe von Gottes Gnaden haben ein Recht zu leben!“) oder den Dachverband der ethischen Mac-Anbeter („Unser täglich iTunes gib uns heute“) gibt muss ich wohl noch damit leben.
17. November 2007
ICANN diskutiert mal wieder, der alte Laberverein. Das sind die mutmaßlich korrupten Bürokraten, die den Vertrag für die com-Registry mit einem Blankovertrag bzgl. Preiserhöhungen an Verisign vergeben haben, weshalb die com-Domänen demnächst doppelt so teuer werden wie de-Domänen.
Diesmal geht es um Regionaldomains, also sowas wie „.cat“ (gibt es schon), „.eu“ (gibt es auch), „.asia“ (gibt es auch schon, aber ist noch nicht aktiv), „.berlin“ (braucht das wer?), „.africa„, „.lat„, usw. usf.
Ich verstehe jetzt (mal so aus bayrischer Sicht gesprochen) die Diskussion nicht ganz. Bayern Tourismus residiert doch unter der Domain www.bayern.by, scheint also ok zu sein. Gut, es gibt da irgendwie eine kleine Verwechslung: Laut Wikipedia gehört die Länderdomain „.by“ nicht Bayern sondern Weißrussland. Da scheint es sich um einen Fehler zu handeln. Weißrussland soll meinetwegen „.wr“ (white russia, wäre noch frei) oder „.br“ (belarus, Brasilien kann ja auf „.bl“ wechseln) verwenden.
Darum sollte sich ICANN mal kümmern! Ist doch nicht zumutbar, dass wir Bayern unsere Domains auf kyrillisch registrieren müssen.
(via Heise, die irgendwas von komische GeoTLDs erzählen. Brauche ich ein Pferd, wenn ich auch einen Metzger habe?)
aus einem Lawblog-Kommentar:
Neulich im Mediamarkt.
Kunde: Ich hätte gerne den Norton 2007.
Verkäufer: Nehmen sie doch den Dr. Kasp…. 2007 der ist besser und einen Euro billiger.
Kunde: Nö, ich hatte Norton 2005. Der war immer ruhig. Dr. Kasp… 2006 habe ich jetzt drauf; und der findet dauernd etwas…
🙂
Ansonsten bitte ich um Verständnis, dass ich meine Meinung zu Norton Antivirus für mich behalte … das könnte sonst teuer werden
CAST ist quasi so ein Anhangverein von Fraunhofer und vergibt an Diplomanden ein paar Preise. Dieses Jahr insgesamt 13.000 Euro, was nicht besonders viel ist. Der Focus Schülerwettbewerb z.B. sponsert Reisen der ganzen Gruppe z.B. in die USA und ist da nicht kleinlich. Mein Bruder war 1998 in der Siegergruppe dabei.
Unabhängig davon sind die Themen nicht uninteressant:
Fälschbarkeit von Indizien der Multimediaforensik von Matthias Kirchner beispielsweise. Ich wüsste nicht, dass es in diesem Bereich in Deutschland schon viel geleistete Arbeit gibt. Oder Hardware/Software Co-Design of Public-Key Cryptography for SSL Protocol Execution in Embedded Systems von Manuel Koschuch, was extrem hohe praktische Relevanz hat. Da fallen mir auf Anhieb 100 verschiedene Anwendungsmöglichkeiten ein.
Nur die Frauenquote lässt zu wünschen übrig … nur ein Mädel 😉
Ich glaube, die Veranstaltung schau ich mir nächstes Jahr mal genauer an.
von Bruce Schneier auf Wired.com
NIST-Standards haben die Tendenz, für Firmen die Software an US-Behörden verkaufen zu wollen, leider verpflichtend zu sein … unabhängig davon wie gut der Standard ist oder nicht. Insbesondere um FIPS (Federal Information Processing Standard) Standards der NIST kommt man in der Praxis nicht herum.
Die NSA steht jetzt unter Verdacht, in den NIST Standard SP800-90 (PDF), genauer in einen der dort beschriebenen Zufallszahlengeneratoren eine Hintertür eingebaut zu haben. Ein Vortrag auf der Crypto 2007 deutet darauf hin:
„What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.“
Ich muss zugeben … wenn das stimmt ist es sehr sehr clever gemacht. Das erinnert mich ein wenig an die Geschichte der Schweizer Crypto AG oder den Clipper Chip.
Heise berichtet auch.
16. November 2007
Neulich mal wieder in meiner Inbox:
Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:
| Antivirus |
Version |
Letzte Akt. |
Ergebnis |
| AhnLab-V3 |
2007.11.17.0 |
2007.11.16 |
– |
| Authentium |
4.93.8 |
2007.11.16 |
W32/Trojan.AMBF |
| AVG |
7.5.0.503 |
2007.11.16 |
PSW.Generic4.FVG |
| CAT-QuickHeal |
9.00 |
2007.11.16 |
– |
| DrWeb |
4.44.0.09170 |
2007.11.16 |
Trojan.PWS.Lineage |
| eTrust-Vet |
31.2.5300 |
2007.11.16 |
– |
| FileAdvisor |
1 |
2007.11.16 |
– |
| F-Prot |
4.4.2.54 |
2007.11.16 |
W32/Trojan.AMBF |
| Ikarus |
T3.1.1.12 |
2007.11.16 |
Trojan-Spy.Win32.Goldun.lw |
| McAfee |
5165 |
2007.11.16 |
Generic PWS.y |
| NOD32v2 |
2664 |
2007.11.16 |
Win32/TrojanDropper.ErPack |
| Panda |
9.0.0.4 |
2007.11.16 |
– |
| Rising |
20.18.40.00 |
2007.11.16 |
– |
| Sunbelt |
2.2.907.0 |
2007.11.16 |
Trojan-Dropper.Delf.HT |
| TheHacker |
6.2.9.132 |
2007.11.16 |
– |
| VirusBuster |
4.3.26:9 |
2007.11.16 |
TrojanSpy.BZub.AFW |
Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?
Ach ja:
DNS: www.cristhmasx.com –> 58.65.239.99
APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong
und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem
15. November 2007
Will ich haben. Hier steht, wie es geht:
Load OSX 10.5 Leopard on the ASUS EEE PC
„The only problem is that the eeePC only supports SSE2 instead of the SSE3 that Leopard is coded for. Kinda a bummer, and will require some extra tinkering to coax the OS on the eeePC. Thankfully Adam’s awesome tutorial over at Lifehacker provided an excellent foundation on how to do these hacks.
First, download the Brazil Mac Hack from OSX86 Scene. This patch helps you create a X86 version of Leopard you can install on generic PC’s.
[…] Or you can skip all the steps below and download Mac OS X 10.5 Leopard [ToH]-RC2 SSE3/SSE2 Intel Only from your favorite BitTorent site – scroll down to the point where you see Leopard is now installed.
[…] You will also need to download a patched SSE2 kernel from here. When thats downloaded, unzip it on your desktop.
[…] I’ve noticed that Leopard is a bit pokey on the eeePC because of its slow processor and 512MB of RAM. I ultimately opted for a file called Mac OS X 10.4.8 [JaS AMD-Intel-SSE2-SSE3 with PPF1 & PPF2].iso that I found on a popular BitTorrent site that seems rock solid on my eeePC.“
Nur leider nicht so ganz legal.
14. November 2007
Nachdem die Zonendaten von Arcor offensichtlich frei zum Download angeboten werden (ein irgendwie gearteter Schutz wie ihn z.B. § 202a StGB fordert ist nicht zu erkennen) habe ich mir mal ein paar Gedanken gemacht.
Welche Zonen verwaltet Arcor?
Problem: Wie kommt man an Domains, die von Arcor entweder komplett gehostet werden oder zu denen von Arcor zumindest der Secondary bereitgestellt wird?
DeNIC kann man leider (zum Glück?) fast vergessen. Ein Zonentransfer der gesamten de-Zone ist nicht möglich, es bliebe lediglich, über ein Script die technischen Daten der diversen Domains unterhalb .de abzufragen. Dort steht nämlich der für die jeweilige Zone autoritative Nameserver und wenn dort die Arcor-Server auftauchen, ist ein Zonentransfer möglich. Nur verwaltet DeNIC inzwischen 11.482.128 Domains (Stand 13.11.07, 23:05), da dauern die Abfragen dann leider etwas länger. Sehr unbefriedigend.
Bei RIPE gibt es ein paar mehr Möglichkeiten. Immerhin gibt es dort eine Menge Suchmöglichkeiten, nur halt leider nicht so recht für DNS. Es gibt zwar einen RIPE-Eintrag „mnt-domains“, da steht dann auch gerne mal „ARCOR-MNT“ drin aber leider lässt sich nach diesem Feld auch in der Advanced Suche nicht suchen. Ich vermute ja mal, ARCOR-MNT bedeutet, diese Daten werden von Arcor als Maintainer verwaltet. Nach den Netzwerk-Verwaltern („mnt-by“) lässt sich jedoch suchen, also muss diese Alternative herhalten. RIPE zeigt zwar nur 100 Einträge an, das reicht aber erst einmal für eine erste Auswertung.
Ergebnis der Auswertung
Die meisten Unternehmen deren Netze bei Arcor liegen lassen auch die Domains von Arcor mitverwalten. Von ca. 50 untersuchten Unternehmen konnte ich immerhin 41 Zonenfiles ergattern. Von diesen enthalten wiederum 5 Zonenfiles interne private IP-Adressen oder sonstige interne Daten.
Zone „sdata.de“:
Hier wimmelt es nur so von internen IP-Adressen, eine kleine Auswahl:
luna A 192.168.33.67
obsidian A 192.168.33.68
rbsoft A 192.168.32.10
sisko A 192.168.33.65
wl100 A 192.168.133.100
wl101 A 192.168.133.101
wl102 A 192.168.133.102
wl103 A 192.168.133.103
wl104 A 192.168.133.104
Zone „spd.de“:
Auch hier gehen die privaten IP-Adressen nicht so schnell aus:
it-forum A 10.0.0.75
kis A 10.0.0.31
kis2 A 10.0.0.32
zeiterfassung A 10.0.0.56
Oha, die SPD lässt stempeln? Kein Vertrauen zu den ausgebeuteten Mitarbeitern der Arbeiterklasse?
vpngate A 195.50.146.134
webmail A 195.50.146.135
koalitionsvertrag A 195.227.129.132
Aha, hier kann man vielleicht den Koalitionsvertrag herunterladen? Heute ist übrigens Franz Müntefering (lesenswerter Link!) zurückgetreten. Fehlen noch Schäuble, Jung, Zypries und Merkel.
Zone „insiders.de“:
Das ist eine besonders schöne Zone, hier hat ein Angreifer bestimmt viel Freude:
_msdcs NS nebukadnezar.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, jukebox.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, nebukadnezar.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, jukebox.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, nebukadnezar.insiders.de
jukebox A 193.22.3.16
nebukadnezar A 193.22.3.42
Für mich sieht das verdächtig nach zwei Domaincontrollern aus. Den Merowinger, Trinity und Neo gibt es in diesem Netz übrigens auch. Ein paar private Adressen fanden sich zum Schluss sowieso noch:
siemens A 192.168.22.23
Zone „tzdresden.de“:
Ein Eintrag ist mir in dieser Zone noch nicht ganz klar geworden:
b161f236-d9a2-43f4-bc8f-e9ba60373639._msdcs CNAME innovativ.tzdresden.de
Kann mir jemand mal bitte die Nummer erklären?
Und noch etwas sinnlose Statistik
Da die Gesamtdatenmenge etwas zu klein ist, sind die folgenden Aussagen natürlich Unsinn … aber amüsant.
- 10% der untersuchten Unternehmen halten Daten auf öffentlichen DNS-Servern, die da nichts zu suchen haben
- mindestens 5% der untersuchten Unternehmen hatten in den letzten Jahren Sicherheitsanalysen, ohne auf dieses potentielle Problem aufmerksam gemacht worden zu sein
- Alle Zonenfiles größer als 8 KB (außer die von Arcor selbst) enthielten private Daten
- www und mail, gegebenenfalls noch mit Ziffer danach sind die beliebtesten Rechnernamen
Wer weitere Daten aus den Arcor-Zonenfiles zusammenträgt darf mir gerne eine Mail schicken …
13. November 2007
Die Raiffeisenbank wird mal wieder Opfer einer Spam-Phishing-Attacke:
Die Titelzeile gefällt mir: „eBanking Private Edition“. Die Angreifer sind auch recht ausführlich bei den Daten, die sie abfragen:
- Herr/Frau
- Vorname
- Familienname
- 10 unbenutzte TAN-Nummern
- Kontonummer
- VR-NetKey
- Alias
- PIN
- Bankleitzahl
- Postleitzahl
- E-mail
Ein wenig gierig sind sie dann natürlich schon:
„Geben Sie 10 unbenutzte TAN-Nummern ein. Wenn Sie weniger als 10 unbenutzte TAN-Nummern haben, so geben Sie alle unbenutzten TAN-Nummern ein“
Die Raiffeisenbank (zumindest meine) ist bezüglich Online-Banking offensichtlich keine besonders gute Wahl:
Problem 1: Die URL des Bankings ist für die Kunden kaum verifizierbar. Jede Raiffeisenbank hat ihre eigene Homepage, die Banking-Startseite liegt auf vr-networld.de, Teile des Internetbankings wiederum beim Dienstleister fiducia.de … wie soll der unbedarfte Bankkunde da erkennen, dass vr-networld.de.hrymn.cn in China liegt?
Problem 2: Die Raiffeisenbank hat neulich erst zur Anmeldung von der Kontonummer (die oft allgemein bekannt ist, z.B. wenn sie auf dem Briefpapier steht) zu einem VR-Netkey, einer davon unabhängigen UserID gewechselt. Vorher konnte man mit der Kontonummer und dreimal falscher PIN problemlos Denial-of-Service Angriffe durchführen.
Problem 3: iTAN, mTAN, TAN-Generator, egal was nur sicherer als die normale TAN ist immer noch komplett Fehlanzeige. Meine Bank konnte mir nicht einmal sagen, bis wann die Einführung von iTAN geplant ist.
Naja, die Deutsche Bank hat das Problem ja bereits per AGB auf die Kunden abgewälzt. Mal sehen, wie das bei der Raiffeisenbank weitergehen soll.
C:\>nslookup
> set type=NS
> arcor.de
Server: dns1.meinprovider.de
Address: 1xx.7.30.125
Nicht autorisierte Antwort:
arcor.de nameserver = ns2.arcor-ip.de
arcor.de nameserver = ns3.arcor-ip.de
arcor.de nameserver = ns1.arcor-ip.de
ns3.arcor-ip.de internet address = 145.253.3.171
ns2.arcor-ip.de internet address = 145.253.2.80
ns1.arcor-ip.de internet address = 145.253.2.19
> server ns1.arcor-ip.de
Standardserver: ns1.arcor-ip.de
Address: 145.253.2.19
> ls -d arcor.de > arcor-zone.txt
[ns1.arcor-ip.de]
#
Erhalten 388 Eintrags.
>
Sehr schön, man kann sich auf einen Schlag die komplette Arcor-Zone ziehen. Das betrifft übrigens gerade alle Arcor-Kunden, deren Secondary DNS-Server auf einem der drei Arcor-Nameserver gespeichert ist.
