28. November 2007
Nein, es geht diesmal nicht um Kollisionen, da schreibe ich ein andermal was dazu.
Steven Murdochs (muss man nicht kennen) Webseite ist gehackt worden und der Angreifer hat einen Account mit einem Passwort hinterlassen. Das Passwort war leider nur als MD5-Hash gespeichert und Steven kam nicht hinter das richtige Passwort. Also hat er den Hash bei Google eingegeben und mit ein wenig kucken, was da angezeigt wird kam er tatsächlich auf das richtige Passwort. So weit so langweilig.
Ich nutze die Gelegenheit nur, auf zwei Sachen hinzuweisen:
1. Salted Passwords!
2. MD5 Online Cracker (Rainbow Tables)
Ach ja, der Hash war „20f1aeb7819d7858684c898d1e98c1bb“ und das Passwort „Anthony“.
27. November 2007
Hacking ist ja nicht nur Computer sondern alles was Technik aus macht … hier: ein Getränkeautomat.
Quelle: 5min
Ich bin gerade in einem Workshop in einem Hotel in Garmisch-Partenkirchen. IT-Security, Datenschutz, die üblichen Themen. In diesem Hotel ist u.a. gerade eine Filmfirma untergebracht, die scheinen da irgendetwas zu planen. Dumm nur, dass genau gegenüber meines Seminarraums ein großer Kopierer mit einer noch größeren Mülltonne steht. Nachdem die mit Papier übergequollen ist, hab ich halt genötigter Weise einen Blick hineingeworfen.
| Agency |
Name* |
Telefon* |
Rolle |
Gage |
| Real.-Life |
Galina P. |
0170-422xxxx |
Komparse/Muc |
75 auf 10h |
| Real.-Life |
Harald G. |
0170-271xxxx |
Komparse/Muc |
75 auf 10h |
| Real.-Life |
Willi P. |
0171-160xxxx |
Komparse/Muc |
75 auf 10h |
| ZBF |
Ludwig F. |
01520-613xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Peter B. |
0173-896xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Katrin S. |
0177-443xxxx |
Komparse/Muc |
100 auf 10h |
| ZBF |
Edwin S. |
0179-992xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Peter W. |
0163-617xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Horst W. |
0175-201xxxx |
Komparse/Muc |
80 auf 10h |
| Producers Friends |
Herman K. |
0172-470xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Barbara N. |
0171-886xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Jozsef S. |
0163-172xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Sonja L. |
01577-407xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Marc K. |
0176-176xxxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Anna P. |
0177-751xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Gerda D. |
0160-928xxxx |
Komparse/Muc |
75 auf 10,5h |
| Rent-A-Face |
Jutta S. |
keine |
Komparse/Muc |
– |
| Rent-A-Face |
Alfred S. |
keine |
Komparse/Muc |
– |
| Rent-A-Face |
Eva S. |
keine |
Komparse/Muc |
– |
| Actots&Arts |
Oliver K. |
keine |
Butler |
150 auf 10h |
| ZBF |
Paul O. |
0163-910xxxx |
Bodyguard |
120 auf 10h |
| Producers Friends |
Konstantin S. |
0151-144xxxx |
Butler |
120 auf 10h |
| Producers Friends |
Stefan P. |
0163-293xxxx |
Bodyguard |
120 auf 10h |
| Producers Friends |
Monika M. |
0176-243xxxx |
Maid |
120 auf 10h |
| Producers Friends |
Desirée E. |
0172-816xxxx |
Maid |
120 auf 10h |
Die Spalten mit * sind auf meinem Ausdruck komplett, außerdem steht „Produktion:Markenfilm“ und „Projekt:Werbefilm“ drüber.
Ich weiß nicht, ob 75 Euro für 10 Stunden als Komparse eine übliche Bezahlung ist. Generell scheint mir, handelt jedoch ZBF die besseren Verträge aus. 100 auf 10h klingt jedenfalls besser als 75 auf 10,5h. Der eine oder andere könnte da versucht sein zu wechseln. Die Schauspieler ganz unten bekommen vermutlich mehr, weil sie wichtigere Rollen spielen (Butler, Bodyguard und Maid). Wobei … was macht so eine Maid eigentlich? Vielleicht sollte ich die Desirée mal anrufen 🙂
Ach ja, Details zur Produktion habe ich keine … ich habe aber auch nicht weiter gesucht. „Real.-Life“ steht wirklich so auf dem Zettel. Vermutlich ist Reallife Media in Berlin gemeint. Und die ZBF gibt es meines Wissens so auch nicht mehr, die ist schon im Juni in der ZAV aufgegangen.
26. November 2007
Googles Wurzeln an der Stanford University: Die wissenschaftliche Arbeit von Sergey Brin und Lawrence Page, die Google begründet hat.
Natürlich hat sich der Suchalgorithmus inzwischen mehrfach geändert und PageRank dient heute eher dazu, kommerziellen Verlinkern und potentiellen Mitbewerbern zu schaden als wirklich die Suchergebnisse zu steuern. Aber trotzdem spannend zu lesen, wie einfach und daher genial ein paar Ideen waren.
25. November 2007
Passend zum Sonntag: richtig formuliert ist halb gewonnen:
| Falsch |
Richtig |
| Das ist der absolute Scheiß!!! |
Eine interessante Herausforderung! |
| Das mach ich sicher nicht, du Blödmann! |
Es gibt technische Gründe, die mir die Erledigung dieser Aufgabe leider nicht ermöglichen. |
| Dieser Trottel versteht überhaupt nichts! |
Er ist mit dem Problem noch nicht vertraut. |
| Du kennst dich überhaupt nichts aus, du Depp! |
Gehört das zu Ihren Kernkompetenzen? |
| Ich habe von Anfang an gewusst, dass das alles Sch…. ist. |
Verzeihung, ich hätte sie warnen können, wenn man mich involviert hätte. |
| Ist mir scheissegal! |
Ich sehe das ganz emotionslos. |
| Mir doch Wurscht, du Depp! |
Bedauerlicherweise kann ich Ihnen in diesem Punkte nicht weiterhelfen. |
| Na, hast du mit dem Chef geschlafen? |
Hat man endlich deine Kompetenz erkannt? |
| Verdammte Sch…, diese Vollidioten haben mir nichts gesagt |
Wir müssen unsere interne Kommunikation verbessern. |
| Was habe ich mit dem Dreck zu tun??? |
Ich war von Anfang an nicht an diesem Projekt beteiligt! |
| Wir sind im Arsch! |
Der Produktivitätsindex unseres Unternehmens zeigt einen sensiblen Rückgang. |
Aus der IT kennen wir ähnliche Formulierungen:
- Es handelt sich hier um ein Layer 8 Problem
- Das Problem befindet sich zwischen Tastatur und Rückenlehne!
- Es handelt sich um eine Inkompatibilität an der Stuhl-Tastatur-Schnittstelle
Die anderen Länder kennen ähnliches:
- Englisch: „Problem Exists Between Keyboard And Chair“, kurz PEBKAC
- Schwedisch: „skit bakom spakarna“, auf deutsch in etwa Scheiße am Kontrollpult
und das klingt doch viel besser als so böse Wörter über unfähige DAUs, oder? Hat noch irgendwer internationale Varianten anzubieten?
„Schon jetzt reagieren viele auf die Ausweitung der Überwachungs- und Kontrollinstrumente, indem sie versuchen, sich auf mehr oder minder geeignete Weise zu schützen. So ist selbst aus der Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) die effektivste Schutzmaßnahme gegen den Missbrauch von Mobiltelefonen „ein Vermeiden des Mitführens von Handys bei Gesprächen mit sensitivem Inhalt, die Detektion jedweder Mobilfunkaktivität im Raum … sowie das Deaktivieren sämtlicher drahtloser Schnittstellen von Mobilfunkgeräten.“ In den bekannt gewordenen 129a-Verfahren sind es jedoch gerade solche Versuche, die das Misstrauen der Sicherheitsbehörden wecken. Die Wahrung von Anonymität und Persönlichkeitsrechten gerät unter Generalverdacht. Die Freiheit selbst wird kriminalisiert.“
Der komplette Text von Andrej Holm kann bei Freitag 47 gelesen werden.
Habe ich schon erwähnt, dass ich den Rücktritt von Hr. Schäuble (wg. Gefahr für die Demokratie), Hr. Jung (wg. Verfassungsbruch), Fr. Zypries (wg. Unfähigkeit und Verharmlosung) und Fr. Merkel (wg. Inkompetenz) für zwingend notwendig halte?
(via Fefe)
Manche Webserver sind einfach übelst konfiguriert. Da wird man von Haus aus auf Fehlermeldungen gestoßen, die man sich kaum ausdenken kann. Eben hab ich mich ein wenig vertippt und statt www.spiegel.de www-spiegel.de eingegeben. Und bin prompt auf die Seite www.cityname24.de weitergeleitet worden. Mit folgender Fehlermeldung:
Nicht uninteressant:
- Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
- System.Data.OleDb.OleDbException
- D:\www-kunden\Kunde11492\329\mtrport.aspx
- Zeile 45: row[„zaehler“] = int_zaehler;
Zeile 47: adapter.Update(dataset,“zaehler“);
Zeile 49: myDataGrid.EditItemIndex = -1;
Da kann man schon was mit anfangen 🙂
Die Startseite sieht auch nicht besser aus:
Die Fehlermeldung sagt u.a.:
- Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
- System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
- [NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.]
_ASP.index_aspx.__Render__control1(HtmlTextWriter __output, Control parameterContainer) +9305
System.Web.UI.Control.RenderChildren(HtmlTextWriter writer) +27
System.Web.UI.Control.Render(HtmlTextWriter writer) +7
System.Web.UI.Control.RenderControl(HtmlTextWriter writer) +243
System.Web.UI.Page.ProcessRequestMain() +1926
Und dabei schreibt die Seite dem Entwickler doch sogar extra noch:
„This error page might contain sensitive information because ASP.NET is configured to show verbose error messages using <customErrors mode=“Off“>. Consider using <customErrors mode=“On“/> or <customErrors mode=“RemoteOnly“/> in production environments.“
Da ist nichts mehr zu retten. Jetzt brauch ich nur noch einen kleinen Exploit.
24. November 2007
bei Technology Review. Für 6,80 Euro. Muss ich mal im Bahnhofskiosk durchblättern, ob sich das lohnt.
Nachtrag (Sonntag, 25.11.07, 17:04)
Es lohnt sich nicht. Ich habe mir das Heft vorhin am Flughafen angeschaut. Es liegt da interessanterweise nicht bei den Computerzeitschriften, darum habe ich es anfangs nicht gefunden sondern bei Wirtschaft, direkt neben dem Manager Magazin.
Eine Doppelseite wird verwendet, um in einer tollen Infografik zu erklären wie unser Trinkwasser aufbereitet wird, eine zweite Doppelseite liefert dann ein wenig Text dazu und wie einfach Terroristen doch unser Trinkwasser vergiften könnten. Im Grunde ein Aufwasch des Vortrags „How safe is a glass of water„, 2003 auf der Brum2600 Konferenz in Birmingham.
Eine dritte Doppelseite braucht es für ein Bild der Norwegian Pearl und einen Bericht, warum in Europa der Strom ausgefallen ist, als bei Papenburg eine Leitung von Eon abgeschaltet wurde. Kernaussage hier, die Stromkonzerne investieren viel zu wenig in ihre Infrastruktur, also eigentlich auch nichts neues.
Auf einer weiteren Doppelseite darf sich Prof. Beyerer vom Fraunhofer IITB darüber auslassen, wie toll sie doch bei Fraunhofer sind und alles super im Griff haben. Nur komisch, dass ich von denen (egal ob IITB, IPK oder IFF) praktisch noch keine relevante Veröffentlichung zur Sicherheit in der Prozessautomation gesehen habe. Ich habe ja den Verdacht, dass die von den vielen Fördergeldern hauptsächlich heiße Luft produzieren.
Und schließlich kommt noch Bruce Schneier zu Wort, der zur ganzen Thematik einen kurzen Kommentar abgeben darf.
Meiner Meinung nach investiert man da sein Geld lieber in die KES 2006#1, da gibt es einen guten Artikel zur Sicherheit in Leittechnik von Stefan Kubik und von mir. Falls es das Heft nicht mehr gibt, wir haben einen Nachdruck unseres Artikels, einfach eine kurze Mail an mich, dann schicke ich eine Kopie zu.
Unglaublich, sogar in UK ist bereits bekanntgeworden, dass es möglich ist VoIP-Gespräche abzuhören. Und noch unglaublicher, ein VoIP-Security „Experte“ namens Peter Cox (Mitgründer von Borderware) hat eine „Proof-of-Concept“ Software veröffentlicht mit der sich VoIP-basierte Telefongespräche abhören lassen. Und das allerkrasseste: das ist sowohl dem Inquirer als auch PC World eine Schlagzeile wert.
Wenn ich richtig informiert bin, hat Kollege Matthias das Abhören von VoIP-Gesprächen bereits am 24. April vorgeführt. Dazu genügt ein handelsübliches, d.h. frei erhältliches Cain & Abel. Mit diversen SIP-Tools kann man sogar noch viel mehr anstellen.
Ach ja … veröffentlicht ist übertrieben. Cox hat nur eine Webseite aufgesetzt, wo man ein paar aufgezeichnete VoIP-Gespräche mithören kann.
Es gibt also nichts zu sehen. Bitte gehen Sie weiter.
oder wie man für 4,76 Euro legal an Microsoft Windows Vista kommt.
Die Süddeutsche Zeitung hat es herausgefunden.
