28. November 2008

25C3: Nothing to Hide

Category: CCC — Christian @ 15:23

Der erste Entwurf des Fahrplans zum 25. Chaos Communication Congress vom 27.-30.12.2008 wie immer im Berliner BCC ist online.

Ich habe mir folglich auch einen vorläufigen Plan der Themen die mich interessieren zusammengestellt:

27.12.2008

14:00 Uhr
Der Hackerparagraph 202c
Auswirkungen des Hackerparagraphen
von lexi, Jürgen Schmidt, Jan Münther, Felix von Leitner

14:00 Uhr
Security Failures in Smart Card Payment Systems
Tampering the Tamper-Proof
von Steven J. Murdoch

18:30 Uhr
Chip Reverse Engineering
von Karsten Nohl, starbug

20:30 Uhr
Beyond Asimov – Laws for Robots
Developing rules for autonomous systems
von Frank Rieger

21:45 Uhr
Locating Mobile Phones using SS7
von Tobias Engel

28.12.2008

12:45 Uhr
Full disk encryption internals
Everything to hide
von Juergen Pabel

14:00 Uhr
Attacking Rich Internet Applications
Not your mother’s XSS bugs
von kuza55, Stefano Di Paola

14:00 Uhr
Exploiting Symbian
Symbian Exploit and Shellcode Development
von collin

16:00 Uhr
Vulnerability discovery in encrypted closed source PHP applications
von Stefan Esser

17:15 Uhr
Security of MICA*-based wireless sensor networks
von Dan Cvrcek

20:30 Uhr
Banking Malware 101
Overview of Current Keylogger Threats
von Thorsten Holz

29.12.2008

14:00 Uhr
An introduction to new stream cipher designs
Turning data into line noise and back
von Tor E. Bjørstad

16:00 Uhr
Hacking into Botnets
Get the real challenge
von Felix Leder

17:15 Uhr
Security and anonymity vulnerabilities in Tor
Past, present, and future
von Roger Dingledine

18:30 Uhr
SWF and the Malware Tragedy
Hide and Seek in A Flash
von BeF, fukami

18:30 Uhr
Attacking NFC mobile phones
First look at the security of NFC mobile phones
von collin

20:30 Uhr
Methods for Understanding Targeted Attacks with Office Documents
von Bruce Dang

21:45 Uhr
Cisco IOS attack and defense
The State of the Art
von FX of Phenoelit

30.12.2008

14:00 Uhr
Security Nightmares 2009
Oder: worüber wir nächstes Jahr lachen werden
von Frank Rieger, Ron

Mir fällt auf, dass deutlich weniger spannende Vorträge dabei sind als in den letzten Jahren. Insbesondere fehlen (vielleicht nur bisher) die renommierten amerikanischen Referenten. Entweder trauen sich die nicht mehr nach Deutschland (wegen dem § 202c?) oder der Congress des CCC ist nicht spannend genug … jedenfalls schade. So ausgedünnt wie der Fahrplan zur Zeit (noch) ist, könnte man den Congress auch wieder auf 3 Tage verkürzen.

24. November 2008

Werbung zur Vorratsdatenspeicherung?

Category: Internet,Offtopic — Christian @ 17:24

Eben im Bildblog diese Anzeige gesehen (ich war versehentlich ohne Adblock unterwegs):

Telekom Werbung

Auf den ersten Blick habe ich das für Werbung für die Vorratsdatenspeicherung gehalten. In Wirklichkeit ist es aber nur Werbung für einen Festplatten-Videorekorder von T-Home.

23. November 2008

Nicht nur bei der Telekom wird geschnüffelt

Category: Datenschutz — Christian @ 03:11

Verizon-Mitarbeiter vergreifen sich sogar an den Daten des designierten US-Präsidenten Obama.

Das zeigt doch nur wieder, wenn Daten irgendwo erst einmal gesammelt werden, dann werden sie auch missbraucht.

22. November 2008

Neues von der Snake Oil Industrie

Category: Hacking,Internet,Produkte — Christian @ 17:42

Wenn es mir die Zeit erlaubt, spiele ich gerne ein wenig mit Virenscannern rum. Insbesondere die erschreckend schlechte Erkennungsquote bei trivialen Dateiveränderungen fasziniert mich immer wieder. Im Rahmen der Vorbereitung eines Vortrags habe ich ein paar Tests durchgeführt um zu sehen, wie es mit Virenscannern eigentlich so aussieht. Dafür habe ich ein bekanntes Schadprogramm verwendet, hier die Remote-Komponente von NetBus 1.70 und gekuckt, wie gut die Virenscanner diese Datei erkennen.

NetBus 1.70 ist zwar steinalt, im Kaspersky-Weblog (Viren-Almanach Nr. 8, September 2008)  stand jedoch, dass im September eine Variante von NetBus als bestgetarnter Schädling aufgetaucht ist, daher dachte ich, jeder Virenscannerhersteller müsste ein gesteigertes Interesse daran haben, dieses Programm zu erkennen.

Dazu habe ich die Patch.exe einmal direkt an Virustotal geschickt, einmal als UPX (UPX 3.03w, Optionen -f –ultra-brute) gepacktes Executable, einmal als Winzip-Archiv (Winzip Pro 10.0, bzip2-Archiv, maximale Kompression), und einmal als Winzip-gepacktes UPX.

Hier sind die Ergebnisse …

(more…)

21. November 2008

(Freiberufliche/r) Programmierer/in gesucht

Category: Work — Christian @ 23:58

Benötigte Kenntnisse:

  • Assembler für x86
  • Programmiersprachen C und C++
  • Compiler VisualC und GCC
  • Source Code Analyse in C und C++
  • Fehleranalyse von Binärprogrammen
  • Debugger (IDA Pro, OllyDbg)
  • Python

Gewünschte Kenntnisse:

  • Assembler (Sparc, PowerPC)
  • Skriptsprachen (Perl, PHP)

Wer mich kennt, weiß wofür … die anderen dürfen gerne Fragen 🙂

Ach ja: Festeinstellung möglich.

Schäuble: Staatsfeind Nr. 1

Category: Offtopic,Politik — Christian @ 22:51

Man kann von unserer Regierung halten was man will. Ich persönlich halte beispielsweise Frau Justizministerin Zypries im Amt für völlig hilflos und überfordert. Vermutlich hat sie sich noch als Staatssekretärin des Ex-Ministers und mutmaßlichen Verfassungsbrechers Schily gedacht, irgendwelche Referenten werden schon ihre Arbeit erledigen, da braucht es zum Glück kein Fachwissen. Traurigerweise sehen die verpfuschten Gesetzesinitiativen des Justizministeriums auch genau so aus.

Oder Bundesverteidigungsminister Jung. Das ist der Hesse aus dem Gefolge von Koch, der mit der Obsession zum Flugzeuge abschießen. Und wenn das verfassungsgemäß leider nicht durchführbar ist, dann schart dieser Minister mal eben schnell eine Alarmrotte der Bundeswehr um sich. Die vermutlich den Eid nicht mehr auf die Verfassung schwört sondern auf Minister Jung. Ich hoffe, die Alarmrotten grüßen wenigstens nicht mit ausgestrecktem rechten Arm.

Den Vogel schießt jedoch Bundesinnenminister Schäuble ab. Als Bürger hat man inzwischen den Eindruck gewonnen, die einzige Arbeit Schäubles dient der Abschaffung des freiheitlichen Rechtsstaats der Bundesrepublik Deutschland. Ich verstehe nicht, wie sich das mit seinem ministeriellen Eid auf das Grundgesetz vereinbaren lässt. Die größte Gefahr für Deutschland sind nicht islamistische Terroristen oder spekulierende Heuschrecken, der Staatsfeind Nummer 1 in Deutschland ist Innenminister Schäuble.
In gemeinsamer Arbeit mit einigen treuen (z.B. dem „Abgeordnete sind wichtiger als Ärzte„-Wiefelspütz) oder schlicht inkompetenten und unfähigen (z.B. „ich bin ja dagegen aber ich stimme dafür und hoffe, das Verfassungsgericht repariert den Schaden„-Nahles) SPD-Vasallen sägt Schäuble an den letzten Fixpunkten des Grundgesetzes. Inzwischen ist Widerstand gegen die Schäublesche Politik kein „wehret den Anfängen“ mehr sondern nur noch ein „rettet den letzten Rest des Rechtsstaats“.

Die von jedem normal denkenden Menschen sofort als schwachsinnig entlarvte Kontrolle aller Flüssigkeiten und Verbot von Flüssigkeiten mit mehr als 100 ml wollte die Europäische Union auch längst wieder abschaffen. Das scheitert am Widerstand eines einzigen, völlig beratungsresistenten und paranoiden Innenministers. Man könnte vermuten, es macht diesem Mann Spaß, andere Menschen nutzlos zu schikanieren. Muss dieser Minister erst den Tod unschuldiger Menschen verursachen, bevor er seines Amtes enthoben wird?

Das Ermächtigungs-BKA-Gesetz, das vermutlich sein Meisterstück werden sollte steht zum Glück jetzt auch auf der Kippe. Nur anders als 1933 beschlossene Ermächtigungsgesetz, das die SPD im damaligen Reichstag abgelehnt hat, hat die heutige SPD sich diesmal gegen die Demokratie entschieden. Die Sozialdemokratie kann sich bei ein paar als pubertäre Jünglinge diffamierte Jusos in Sachsen bedanken, dass der größte Schaden am Rechtsstaat seit 1933 bisher verhindert werden konnte. Die Christlichen Parteien (u.a. Zentrum und CSVD) haben 1933 dem Ermächtigungsgesetz übrigens zugestimmt. Ich finde die Parallelen erschreckend.

Jeder anständige Minister würde aus dem kontinuierlichen Versagen auf ganzer Linie und den beschämenden Urteilen des Bundesverfassungsgerichts zurücktreten. Nicht jedoch Schäuble. Der klebt im wahrsten Sinne des Wortes an seinem Rollstuhl. Und wenn das BKA-Gesetz mit demokratischen Mitteln nicht erreichbar ist, dann wird eben eine „Verfassungsreform“ verlangt. Konsequenterweise sollte gar nicht mehr abgestimmt werden, der GröIaZ sollte Gesetze direkt beschließen können. In der SPD, in Person des Fraktionsvize Fritz Rudolf Körper hat er einen willigen Helfer gefunden.

In dieser ganzen Gemengelage frage ich mich zu guter Letzt, wo ist eigentlich die Bundeskanzlerin? Artikel 65 des Grundgesetzes bestimmt: „Der Bundeskanzler bestimmt die Richtlinien der Politik und trägt dafür die Verantwortung.“ Für die Exzesse paranoider schizophrener Minister trägt die Bundeskanzlerin die Verantwortung wenn sie diese Minister nicht zurückpfeift oder am besten direkt entlässt. Aus dem Bundeskanzleramt ist es erstaunlich ruhig in diesen Tagen. Ist das Feigheit vor dem Innenminister oder hat Schäuble in seinen Koffern nicht nur Schwarzgeld sondern auch belastendes Material gegen die Kanzlerin und sie so in der Hand? Das wäre nichts neues, aus Bayern kennen wir das von Franz Josef Strauß und seiner gescheiterten Tochter Hohlmeier.

Eine schöne Lektüre ist wie immer der Kommentar von Heribert Prantl in der Süddeutschen Zeitung: Ein machtgeiler Plan

20. November 2008

ISO 27001 Auditoren

Category: Offtopic — Christian @ 19:51
    „Früher sind die Scharlatane durch den Wilden Westen gezogen und haben Snake Oil als Medizin verkauft. Heute ziehen sie als Auditoren durch die Firmen und verkaufen ISO 27001 Audits.“

Aus einem Vortrag von mir über den Nutzen von Audits unter anderem am Beispiel der PCI-Zertifizierung von Hannaford. Die Präsentation stelle ich hier noch ein.

19. November 2008

Apple ist Evil

Category: Produkte — Christian @ 23:58

na gut, noch nicht ganz so böse wie Google aber immerhin

Danke JeriC 🙂