23. November 2007
Der Fahrplan für den Chaos Communication Congress ist da.
Man merkt, dass der CCC dieses Jahr nicht genug Vorträge zusammenbekommen hat. Der Raum 4 wird gar nicht mehr benötigt und auch zwischendrin sind eine Menge Lücken in denen nicht viel passiert. Vielleicht ist das gut und fördert die Diskussionskultur, möglicherweise schlecht weil dann viel weniger Leute kommen. Mal sehen. Eine Eröffnungszeremonie wie sonst immer gibt es auch nicht, es fängt direkt am ersten Tag mit den Vorträgen an. Sehr seltsam.
Mein Programm mit den Themen die mich interessieren würden:
1. Tag:
Parallel läuft VX, den werde ich wohl leider verpassen (bzw. später das Video ankucken). Die Show von Prof. Johannes Grenzfurthner (joah, der ist wirklich Professor, an der FH Joanneum Graz) hat mir auf dem Camp nicht gefallen, die schenke ich mir voraussichtlich dieses Mal. Mir fällt auf, dass politische bzw. Community-Themen dieses Jahr stark vertreten sind und die klassischen Hacking-Geschichten weniger werden.
2. Tag:
Leider parallel zu FX läuft „Inside the Mac OS X Kernel„, eventuell gehe ich auch da rein. Und statt in das Survival in „Das Panoptische Prinzip„. Das sieht beides sehr spannend aus.
3. Tag:
Interessant wäre auch der parallel zu Ring Zero/UID Zero laufende Vortrag „Current events in Tor development„. Mich würde interessieren, ob der Referent auf die Vorfälle mit dem schwedischen Hacker und den Botschaftspasswörtern eingeht. Der Vortrag „Mein Finger gehört mir“ parallel zu FX wäre als politisches Thema sicher auch interessant. Wenn FX nichts spannendes einfällt, kann ich ja rübergehen. Am dritten Tag sind sehr viele politische Themen, also Wahlen und Pässe. Das dumme daran ist nur, ich habe nicht den Eindruck, das würde im geringsten was bewegen. Der Schäuble ist 100% beratungsresistent, der würde die Vernunft nichtmal annehmen, wenn sie ihm in einem Geldkoffer gebracht wird.
4. Tag:
Interessant wäre sicher auch „I know who you clicked last summer„, das Daten aus Social Networks auswertet. Damit kann man gut die Leute erschrecken. Ich erinnere nur an das PKI Book Projekt von pdp.
Alles in allem scheint mir aber deutlich weniger los zu sein als die letzten Jahre. Kein Vortrag von Dan Kaminsky, nichts neues von THC, anscheinend bleiben die Amerikaner dieses Jahr dem Congress fern. Ich hoffe das liegt nicht an diesem unsäglichen § 202c StGB. Und für Fefes Fnord-Rückblick wäre auf jeden Fall noch Zeit gewesen. Den zu kegeln finde ich eine dumme und kurzsichtige Entscheidung des Programmkomitees. schämt Euch.
Für 80 Euro Eintritt ist das ein sehr schönes und umfangreiches Programm. Aber ganz ehrlich, es erreicht definitiv nicht das Niveau der letzten beiden Jahre. Das kann daran liegen, dass einige Themen bereits auf dem Camp gelaufen sind, ist aber sehr schade für den Congress. Mal sehen, wie sich das die nächsten Jahre weiterentwickelt.
22. November 2007
Mal wieder Accor … ich mag die nicht und Gründe gibt es viele. Neulich erst wieder … der Internet-Zugang in so einem Accor-Hotel (diesmal das Mercure Bonn Hardtberg, ehemals Novotel), eine einzige Katastrophe.
Internet-Zugang geht nur über Vodafone Wireless. Das ist vermutlich die teuerste Internet-Verbindung die es in Deutschland überhaupt noch gibt. In dem Mercure haben die für 24 Stunden glatt 24,90 Euro genommen. Nur zum Vergleich, der DSL-Flatrate-Zugang von Vodafone kostet pro Monat auch nur 29,95 Euro. Ich finde das unglaublich frech. Selten solche Abzocker gesehen. Und dann läuft das nicht mal richtig stabil. Alle paar Minuten hatte ich fette Aussetzer, es kommt nur noch eine Fehlermeldung vom Browser. Da geht dann gerne mal 15 oder 20 Minuten gar nichts, aber die 24 Stunden Zeitspanne läuft natürlich ab. Das ist nämlich nicht Online-Zeit sondern gilt ab dem ersten Login und dann ist Schicht im Schacht.
Heute auch wieder, diesmal ein Dorint, in Garmisch-Partenkirchen. Die gehören zwar anscheinend seit 16. Januar 2007 nicht mehr zur Accor-Gruppe aber die Vodafone-Verträge haben die wohl auch noch. Und natürlich den gleichen schlechten Zugang. Immer wieder Komplettaussetzer, teilweise für 10, 15 Minuten. Und natürlich wieder grausam teuer.
Statt gegen die Telekom zu klagen sollte Vodafone lieber mal ihr eigenes Netz in Ordnung bringen. Meine persönliche Meinung aus den bisherigen Erfahrungen kristallisiert immer mehr: Finger weg von Accor (Etap, Ibis, Novotel, Mercure), Finger weg von Dorint und Finger weg von Vodafone.
21. November 2007
Phishing via Tor-Exit-Nodes ist eigentlich nichts ganz neues und die Erfinder von Tor weisen auch immer wieder darauf hin, dass Tor keinen Schutz vor dem Ausspähen von Daten bietet. Inzwischen findet man sogar Tor-Exit-Nodes, die gezielt nur unverschlüsselte Protokolle erlauben. Das erleichtert natürlich massiv das Phishing. Es sind sogar schon Exit-Nodes aufgetaucht, die falsche Zertifikate für Man-in-the-Middle-Angriffe herausgeben. Interessanterweise sitzt der Node in Deutschland (217.233.212.114, Dt. Telekom).
Hmm … vielleicht könnte das ein neues Geschäftsmodell ergeben …. ?
20. November 2007
Cisco hat ein neues Corporate Security Blog. Ich bin ja mal gespannt, ob da mehr drin steht als das übliche Marketingblabla. Wenn das so wird, wie das Google Online Security Blog, in dem alle paar Monate mal ein Artikel drinsteht, wird es sich nicht lohnen da reinzukucken.
19. November 2007
Privacy ist ja sowas von old school, wen interessiert denn das noch? Ein paar Beispiele:
- Apple fällt gerne mal unangenehm auf, wenn es um das iPhone geht. Bei einige Anwendungen wie beispielsweise der Abfrage der Börsenkurse oder des Wetters wird eine IMEI-Nummer an Apple übertragen. Das scheint zwar nicht die IMEI des Telefons zu sein, notwendig ist die Übertragung aber trotzdem nicht und sollte daher mit Blick auf die im Bundesdatenschutz geforderte Datenvermeidung unterbleiben.
- Facebook wiederum observiert gerne mal, wo die User so im Web surfen. Von dritten Plattformen wird das Surfverhalten automatisch an Facebook gemeldet. Die Meldung erfolgt sogar, wenn der Facebook-Nutzer die Ausgabe dieser Daten in seinen Optionen abgeschaltet hat.
- World of Warcraft wiederum kommt mit einer Software („Warden“) zum Schutz der Spielintegrität, die verschlüsselt und für jeden Anwender unterschiedlich ist (und regelmäßig verändert wird), so dass kein Nutzer mehr sicher sein kann, was Warden tatsächlich macht. Vermutlich werden keine Daten ausspioniert aber leider kann das auch niemand verifizieren um sicher zu gehen.
Ich versuche ja konsequent (auch wenn das nicht immer geht) solche Produkte zu meiden. Insofern kein Apple iPhone kaufen (ist eh nur Hype), nicht World of Warcraft spielen (interessiert mich nicht) und von Facebook, StudiVZ und Co. lasse ich weitgehend die Finger weg (ausgenommen Xing, aber ich pass auf was da steht).
Andererseits frage ich mich (z.B. auch bei HD-DVD und Blu-ray) langsam schon, ob die großen Konzerne den Bürger nur noch für Cashvieh halten und sich nicht mehr um grundlegende Rechte scheren müssen? Aber naja, der Bundesdatenschutzbeauftragte Schaar hat ja auch (unter Verkennung bzw. großzügigen Ignorierens der Rechtslage) den Providern erlaubt, Verbindungsdaten zu speichern selbst wenn sie nicht zu Abrechnungszwecken benötigt werden. Was will man da noch erwarten.
Am Freitag hat Kollege Matthias wieder eine Hacking-Show … Hacking VoIP auf der CBT Security Tagung in Garmisch-Partenkirchen.
Beim Update der Tools und allgemein so beim Herumschauen was es noch so alles gibt, ist mir SIPvicious aufgefallen, das mir bisher nicht auf dem Radar aufgetaucht ist.
SIPvicious besteht aus vier Hauptprogrammen:
- svmap, der SIP-Scanner. Er findet und identifiziert SIP-Geräte und SIP-Server und kann SIP-Methoden wie REGISTER oder INVITE verwenden, um die Geräte zu aktivieren.
- svwar, ein SIP-Wardialer. Damit lassen sich interessante und aktive Rufnummern auffinden.
- svcrack, ein SIP-Cracker. Damit lässt sich die SIP Digest Authentication brechen. svcrack verwendet dazu eine Reihe von Wörterbüchern mit gängigen Passwörtern.
- svreport, das Reporting-Tool. Mit diesem Programm lassen sich die Aufrufe der anderen Tools verwalten und fast automatisch Berichte als PDF, XML, CVS und TXT erzeugen.
Alle Programme sind in Python geschrieben, d.h. sie kommen auch komplett im Source Code.
Zu den Tools gibt es ein Blog, das über aktuelle Entwicklungen informiert und Aufrufe dokumentiert, mit denen relevante Informationen gefunden werden können. Sehr lesenswert ist das PDF „How to get the job done„, das beschreibt wie mit Hilfe von SIPvicious und der SIP-Telefonanlage erfolgreich in ein Netzwerk eindringt.
Ein echtes „must see“!
Eigentlich soll dieses Blog ja werbefrei bleiben. Eigentlich, weil ich natürlich auch ein wenig Werbung für meinen Arbeitgeber, die NESEC GmbH mache. <schamloses Anpreisen>Wer einen Penetrationstest qualifizierten durchgeführt haben möchte …</schamloses Anpreisen>
Jetzt gibt es rechts eine Ausnahme für den AK Vorratsdatenspeicherung:
Und das ist auch gut so.
18. November 2007
Langsam fängt mir dieses lustige „Ethical“ auf den Senkel zu gehen … gerade aus dem angelsächsischen Raum schwemmt es da lauter so Unsinn herüber.
Certfied Ethical Hacker zum Beispiel. Ich hab so ein Zertifikat. Ich glaube, das darf ich sogar auf meine Visitenkarte drucken. Mach ich natürlich nicht, wäre mir peinlich. Ich weiß auch gar nicht, worauf sich das Zertifikat nun bezieht … bin ich jetzt zertifizierter Hacker der (hoffentlich) ethisch ist oder zertifiziert ethisch und (hoffentlich) Hacker? Und wie zertifiziert man ethisch? Beichten musste ich jedenfalls nicht.
Oder mein CISSP. Der Certified Information Systems Security Professional. Da muss man auch angeben, dass man keinen kriminellen Hintergrund hat sondern sich immer ethisch verhalten hat. Nach US-Recht oder nach russischem Recht?
Und jetzt gibt es bei den Briten ganz neu CREST, das Council of Registered Ethical Security Testers. Das sind vermutlich die, die sich vor lauter Ethik gar nicht mehr trauen, Hackingtools aus dem Internet herunterzuladen. Die Mitgliederliste ist jedenfalls bezeichnend: KPMG, Ernst & Young (genau, das sind die mit den verlorenen Notebooks), Insight (Siemens), Symantec und Co. Die einzigen relevanten Pentester die ich da finde sind NTA Monitor (von denen ist z.B. ike-scan) und vielleicht noch NGS Software (mit David Lichtfield, der die ganzen Oracle Bugs findet).
Ich persönlich glaube ja mehr an das 11. Gebot: „Lass Dich nicht erwischen“. Andererseits … mit so einem Dachverband könnte man vielleicht bessere Lobby-Arbeit gegen den StGB 202c und ähnliche Schwachsinnsgesetze unserer Bummelregierung machen. Von der Bitkom kann man ja leider nichts brauchbares erwarten, solange der Laden von Branchengrößen wie Microsoft und SAP dominiert wird, die natürlich gegen Hackertools sind, weil besonders die eigenen Produkte angegriffen werden.
Naja, solange es nicht den Dachverband der ethischen Windows-Administratoren („Viren ausrotten? Das geht nicht, auch diese Geschöpfe von Gottes Gnaden haben ein Recht zu leben!“) oder den Dachverband der ethischen Mac-Anbeter („Unser täglich iTunes gib uns heute“) gibt muss ich wohl noch damit leben.
17. November 2007
ICANN diskutiert mal wieder, der alte Laberverein. Das sind die mutmaßlich korrupten Bürokraten, die den Vertrag für die com-Registry mit einem Blankovertrag bzgl. Preiserhöhungen an Verisign vergeben haben, weshalb die com-Domänen demnächst doppelt so teuer werden wie de-Domänen.
Diesmal geht es um Regionaldomains, also sowas wie „.cat“ (gibt es schon), „.eu“ (gibt es auch), „.asia“ (gibt es auch schon, aber ist noch nicht aktiv), „.berlin“ (braucht das wer?), „.africa„, „.lat„, usw. usf.
Ich verstehe jetzt (mal so aus bayrischer Sicht gesprochen) die Diskussion nicht ganz. Bayern Tourismus residiert doch unter der Domain www.bayern.by, scheint also ok zu sein. Gut, es gibt da irgendwie eine kleine Verwechslung: Laut Wikipedia gehört die Länderdomain „.by“ nicht Bayern sondern Weißrussland. Da scheint es sich um einen Fehler zu handeln. Weißrussland soll meinetwegen „.wr“ (white russia, wäre noch frei) oder „.br“ (belarus, Brasilien kann ja auf „.bl“ wechseln) verwenden.
Darum sollte sich ICANN mal kümmern! Ist doch nicht zumutbar, dass wir Bayern unsere Domains auf kyrillisch registrieren müssen.
(via Heise, die irgendwas von komische GeoTLDs erzählen. Brauche ich ein Pferd, wenn ich auch einen Metzger habe?)
aus einem Lawblog-Kommentar:
Neulich im Mediamarkt.
Kunde: Ich hätte gerne den Norton 2007.
Verkäufer: Nehmen sie doch den Dr. Kasp…. 2007 der ist besser und einen Euro billiger.
Kunde: Nö, ich hatte Norton 2005. Der war immer ruhig. Dr. Kasp… 2006 habe ich jetzt drauf; und der findet dauernd etwas…
🙂
Ansonsten bitte ich um Verständnis, dass ich meine Meinung zu Norton Antivirus für mich behalte … das könnte sonst teuer werden
