Mitternachtshacking

In Großbritannien hat es mit Jeremy Clarkson den richtigen erwischt:

Der Moderator der Fernsehsendung „Top Gear“ behauptete in einem Beitrag in der Zeitung Sun, der Verlust von 25 Millionen Datensätzen sei Kinderkram und die ganze Aufregung nicht wert. Konsequenterweise veröffentlichte er als Beweis im gleichen Artikel seine eigenen Daten mit der Behauptung, das schlimmste was passieren könnte wäre, dass jemand Geld einzahlen würde.

Wenige Tage später und 500 Pfund ärmer musste er zugeben, dass seine Behauptungen nicht der Realität entsprachen. Sein Fazit:

„Contrary to what I said at the time, we must go after the idiots who lost the discs and stick cocktail sticks in their eyes until they beg for mercy“

Ich hoffe, ein paar Idioten merken dann endlich auch einmal was. Der CCC hat ja Fingerabdrücke von Hr. Schäuble, die bitte publizieren weil ist ja angeblich alles gar nicht so schlimm. Ich habe ein paar spannende Tatorte wo ich diese Abdrücke gerne hinterlassen würde.

(via The Register)

SANS hat im Reading Room einen hervorragenden Artikel zu VoIP Security zusammengestellt. Aus dem Inhaltsverzeichnis:

1. Introduction
2. Security vulnerabilities transitioning from POTS to VoIP
3. Real Time Protocol (RTP)
4. Asterisk and Inter-Asterisk Exchange (IAX)
5. Session Initiation Protocol (SIP)
6. Skype
7. Cisco VoIP
8. Conclusion

insgesamt 125 Seiten. Ich habe den Text bisher nur kurz überflogen, sieht aber sehr detailliert und fundiert aus. Ein echtes must-read. Nur einen neuen moderneren Font könnte sich SANS mal aussuchen …

(via SIPVicious)

So öffnet man ein Kensington Lock, McGyver-Style 😉

Ich bin begeistert!

Viele Blogs, insbesondere die mit vielen Kommentierenden und viel Spam benötigen gute Verfahren wie Captchas, um die Spammer außen vor zu halten. Reine Spamfilter wie Akismet, die bei mir und meinem geringen Aufkommen gut funktionieren sind für große Seiten kaum zu gebrauchen, weil das Reporting jedes Spams die Datenbank voll belastet. Robert Basic kann da ein Lied von singen.

Die einfachen und billigen Verfahren funktionieren jedoch auch nicht ganz sauber. So gibt es ein Math-Plugin für WordPress, das bei der Eingabe eine simple Frage wie „sum of 9+9“ stellt. Die Jungs von Webmaster-Verzeichnis haben sich dazu ein paar Gedanken gemacht. Hier das Ergebnis, 60% der Blogs lassen sich so überlisten.

Grafischen Captchas geht es übrigens nur selten besser.

Ich bleibe erstmal bei Akismet 🙂

sehr interessant zu lesen

(via The Register)

Securityfocus hat eine Artikel von Symantec Research (äh … Symantec und Research ohne Negation in einem Satz?) veröffentlicht, in dem sie beschreiben, dass ein böser Hacker:

1. eine böse und eine harmlose Applikation programmiert
2. beide Applikationen so verändert, dass sie den gleichen MD5-Hash produzieren
3. die harmlose Applikation auf einen Webserver legt
4. wartet, bis der Hash dieser Applikation es in die Whitelist-Tabellen der Virenscanner geschafft hat
5. die böse Applikation auf den Webserver legt
6. den Schadcode ausführen kann, weil er per Whitelist erlaubt wird

Schön, dass Symantec das schon 2008 aufgefallen ist. Nur, das ist ja so etwas von … da muss ich lange nachdenken … 2004! Dan Kaminsky hat ein vergleichbares Problem bereits 2004 auf Doxpara als PDF veröffentlicht und in Folge in seinen BlackOps TCP/IP Präsentationen (PPT) live vorgeführt. Das Tool confoo.pl hat er damals bereits auf seiner Webseite bereitgestellt.

Aber gut, wir wissen ja, dass Symantecs Norton Antivirus manchmal auch nicht gerade der schnellste ist. 🙂

In diesem Zusammenhang verweise ich auf Privacy International, dort sind die USA, Russland, Großbritannien und China als führende Überwachungsstaaten aufgeführt, Deutschland hat in den letzten 12 Monaten dafür den größten Schritt „nach vorne“ gemacht.

Daten werden immer wichtiger. Insbesondere möglichst personalisierte Daten über die Nutzer eines Dienstes, egal ob Google, Facebook oder StudiVZ. Die Google Vizepräsidentin für Suchprodukte Marissa Mayer hat das jetzt gegenüber Tim O’Reilly zugegeben:

„When you type in „GM“ into Google, we know it’s „General Motors.“ If you type in „GM foods“ we answer with „genetically modified foods.“ Because we’re processing so much data, we have a lot of context around things like acronyms.“

Dabei bleibt der Datenschutz natürlich schnell mal auf der Strecke. Egal ob Facebook Beacon, bei dem alle Freunde automatisch mitgeteilt bekommen, welche Bücher ein Nutzer bei Amazon bestellt hat (was vielleicht noch egal wäre) oder welche sonstigen Artikel bei Dildoking.com (was vermutlich nicht mehr egal ist). Oder der Google RSS Reader, der alle abonnierten Feeds allen in der Google Kontaktliste mitteilt (in der sich vielleicht auch Geschäftspartner befinden die private Sachen nichts angehen). Und wir erinnern und auch daran, dass AOL ein paar Millionen Suchanfragen wissentlich und bewußt im Internet veröffentlicht hat, auch wenn die Spin-Doktoren heute gerne von einem „versehen“ reden. TechCrunch hat das schön zusammengefaßt:

„The most serious problem is the fact that many people often search on their own name, or those of their friends and family, to see what information is available about them on the net. Combine these ego searches with porn queries and you have a serious embarrassment.“

Google mag vielleicht nicht „evil“ sein, aber sobald die Daten existieren (siehe Vorratsdatenspeicherung) gibt es garantiert sofort einen neurotisch-paranoiden Schizophrenen im Rollstuhl (Ähnlichkeiten mit real existierenden Innenministern sind rein zufällig) der sich per Gesetzesänderung Zugriff auf die Daten sichern will.

Ich frage mich ja, was macht jemand der Zugriff auf alle diese Daten hat?

von hier, inzwischen sind zwei dazugekommen. Aktuelle Liste:

• Adblock (nicht Adblock Plus)
• Add N Edit Cookies
• DOM Inspector
• Exif Viewer
• Fasterfox
• FlashGot
• FoxTorrent
• NoScript
• Neu: Objection (um Flash-Cookies zu lösche, siehe Fukami)
• SEO For Firefox
• Server Spy
• ShowIP
• Tamper Data
• Neu: User Agent Switcher

Es gibt noch ein paar weitere Extensions aus FireCAT, die ich mal testen möchte aber bisher nicht dazugekommen bin.

Ich habe ja früher selbst mal (mehr oder weniger erfolgreich) ein wenig C++ programmiert aber so richtig anfreunden konnte ich mich mit der Programmiersprache nie. Ein besonderer C++ Basher ist bekanntlich Fefe, der dazu schon einen fiesen Vortrag (PDF) gehalten hat.

Und nun finde ich passend dazu die C++ Frequently Questioned Answers (FQA). Ei paar Auszüge:

• Operator overloading provides strong source code encryption (the time needed to figure out what a+b actually means is an exponential function of the number of types, implicit conversions, template specializations and overloaded operator version involved).
• One thing is always true: where you can use C++, you can use C. In particular, if someone gave you C++ interfaces, a thin layer of wrappers will hide them. Using C instead of C++ has several practical benefits: faster development cycle, reduced complexity, better support by tools such as debuggers, higher portability and interoperability. When C++ is an option, C is probably a better option.
• Empirical studies indicate that 20% of the people drink 80% of the beer. With C++ developers, the rule is that 80% of the developers understand at most 20% of the language. It is not the same 20% for different people, so don’t count on them to understand each other’s code.

Wunderbar 🙂

Nachtrag: 

Ein paar schöne Irrtümer gibt es auch bei Cay Horstmann.