17. November 2007
CAST ist quasi so ein Anhangverein von Fraunhofer und vergibt an Diplomanden ein paar Preise. Dieses Jahr insgesamt 13.000 Euro, was nicht besonders viel ist. Der Focus Schülerwettbewerb z.B. sponsert Reisen der ganzen Gruppe z.B. in die USA und ist da nicht kleinlich. Mein Bruder war 1998 in der Siegergruppe dabei.
Unabhängig davon sind die Themen nicht uninteressant:
Fälschbarkeit von Indizien der Multimediaforensik von Matthias Kirchner beispielsweise. Ich wüsste nicht, dass es in diesem Bereich in Deutschland schon viel geleistete Arbeit gibt. Oder Hardware/Software Co-Design of Public-Key Cryptography for SSL Protocol Execution in Embedded Systems von Manuel Koschuch, was extrem hohe praktische Relevanz hat. Da fallen mir auf Anhieb 100 verschiedene Anwendungsmöglichkeiten ein.
Nur die Frauenquote lässt zu wünschen übrig … nur ein Mädel 😉
Ich glaube, die Veranstaltung schau ich mir nächstes Jahr mal genauer an.
von Bruce Schneier auf Wired.com
NIST-Standards haben die Tendenz, für Firmen die Software an US-Behörden verkaufen zu wollen, leider verpflichtend zu sein … unabhängig davon wie gut der Standard ist oder nicht. Insbesondere um FIPS (Federal Information Processing Standard)Â Standards der NIST kommt man in der Praxis nicht herum.
Die NSA steht jetzt unter Verdacht, in den NIST Standard SP800-90 (PDF), genauer in einen der dort beschriebenen Zufallszahlengeneratoren eine Hintertür eingebaut zu haben. Ein Vortrag auf der Crypto 2007 deutet darauf hin:
„What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.“
Ich muss zugeben … wenn das stimmt ist es sehr sehr clever gemacht. Das erinnert mich ein wenig an die Geschichte der Schweizer Crypto AG oder den Clipper Chip.
Heise berichtet auch.
16. November 2007
Neulich mal wieder in meiner Inbox:
Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:
| Antivirus |
Version |
Letzte Akt. |
Ergebnis |
| AhnLab-V3 |
2007.11.17.0 |
2007.11.16 |
– |
| Authentium |
4.93.8 |
2007.11.16 |
W32/Trojan.AMBF |
| AVG |
7.5.0.503 |
2007.11.16 |
PSW.Generic4.FVG |
| CAT-QuickHeal |
9.00 |
2007.11.16 |
– |
| DrWeb |
4.44.0.09170 |
2007.11.16 |
Trojan.PWS.Lineage |
| eTrust-Vet |
31.2.5300 |
2007.11.16 |
– |
| FileAdvisor |
1 |
2007.11.16 |
– |
| F-Prot |
4.4.2.54 |
2007.11.16 |
W32/Trojan.AMBF |
| Ikarus |
T3.1.1.12 |
2007.11.16 |
Trojan-Spy.Win32.Goldun.lw |
| McAfee |
5165 |
2007.11.16 |
Generic PWS.y |
| NOD32v2 |
2664 |
2007.11.16 |
Win32/TrojanDropper.ErPack |
| Panda |
9.0.0.4 |
2007.11.16 |
– |
| Rising |
20.18.40.00 |
2007.11.16 |
– |
| Sunbelt |
2.2.907.0 |
2007.11.16 |
Trojan-Dropper.Delf.HT |
| TheHacker |
6.2.9.132 |
2007.11.16 |
– |
| VirusBuster |
4.3.26:9 |
2007.11.16 |
TrojanSpy.BZub.AFW |
Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?
Ach ja:
DNS: www.cristhmasx.com –> 58.65.239.99
APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong
und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem
15. November 2007
Will ich haben. Hier steht, wie es geht:
Load OSX 10.5 Leopard on the ASUS EEE PC
„The only problem is that the eeePC only supports SSE2 instead of the SSE3 that Leopard is coded for. Kinda a bummer, and will require some extra tinkering to coax the OS on the eeePC. Thankfully Adam’s awesome tutorial over at Lifehacker provided an excellent foundation on how to do these hacks.
First, download the Brazil Mac Hack from OSX86 Scene. This patch helps you create a X86 version of Leopard you can install on generic PC’s.
[…] Or you can skip all the steps below and download Mac OS X 10.5 Leopard [ToH]-RC2 SSE3/SSE2 Intel Only from your favorite BitTorent site – scroll down to the point where you see Leopard is now installed.
[…] You will also need to download a patched SSE2 kernel from here. When thats downloaded, unzip it on your desktop.
[…] I’ve noticed that Leopard is a bit pokey on the eeePC because of its slow processor and 512MB of RAM. I ultimately opted for a file called Mac OS X 10.4.8 [JaS AMD-Intel-SSE2-SSE3 with PPF1 & PPF2].iso that I found on a popular BitTorrent site that seems rock solid on my eeePC.“
Nur leider nicht so ganz legal.
14. November 2007
Nachdem die Zonendaten von Arcor offensichtlich frei zum Download angeboten werden (ein irgendwie gearteter Schutz wie ihn z.B. § 202a StGB fordert ist nicht zu erkennen) habe ich mir mal ein paar Gedanken gemacht.
Welche Zonen verwaltet Arcor?
Problem: Wie kommt man an Domains, die von Arcor entweder komplett gehostet werden oder zu denen von Arcor zumindest der Secondary bereitgestellt wird?
DeNIC kann man leider (zum Glück?) fast vergessen. Ein Zonentransfer der gesamten de-Zone ist nicht möglich, es bliebe lediglich, über ein Script die technischen Daten der diversen Domains unterhalb .de abzufragen. Dort steht nämlich der für die jeweilige Zone autoritative Nameserver und wenn dort die Arcor-Server auftauchen, ist ein Zonentransfer möglich. Nur verwaltet DeNIC inzwischen 11.482.128 Domains (Stand 13.11.07, 23:05), da dauern die Abfragen dann leider etwas länger. Sehr unbefriedigend.
Bei RIPE gibt es ein paar mehr Möglichkeiten. Immerhin gibt es dort eine Menge Suchmöglichkeiten, nur halt leider nicht so recht für DNS. Es gibt zwar einen RIPE-Eintrag „mnt-domains“, da steht dann auch gerne mal „ARCOR-MNT“ drin aber leider lässt sich nach diesem Feld auch in der Advanced Suche nicht suchen. Ich vermute ja mal, ARCOR-MNT bedeutet, diese Daten werden von Arcor als Maintainer verwaltet. Nach den Netzwerk-Verwaltern („mnt-by“) lässt sich jedoch suchen, also muss diese Alternative herhalten. RIPE zeigt zwar nur 100 Einträge an, das reicht aber erst einmal für eine erste Auswertung.
Ergebnis der Auswertung
Die meisten Unternehmen deren Netze bei Arcor liegen lassen auch die Domains von Arcor mitverwalten. Von ca. 50 untersuchten Unternehmen konnte ich immerhin 41 Zonenfiles ergattern. Von diesen enthalten wiederum 5 Zonenfiles interne private IP-Adressen oder sonstige interne Daten.
Zone „sdata.de“:
Hier wimmelt es nur so von internen IP-Adressen, eine kleine Auswahl:
luna A 192.168.33.67
obsidian A 192.168.33.68
rbsoft A 192.168.32.10
sisko A 192.168.33.65
wl100 A 192.168.133.100
wl101 A 192.168.133.101
wl102 A 192.168.133.102
wl103 A 192.168.133.103
wl104 A 192.168.133.104
Zone „spd.de“:
Auch hier gehen die privaten IP-Adressen nicht so schnell aus:
it-forum A 10.0.0.75
kis A 10.0.0.31
kis2 A 10.0.0.32
zeiterfassung A 10.0.0.56
Oha, die SPD lässt stempeln? Kein Vertrauen zu den ausgebeuteten Mitarbeitern der Arbeiterklasse?
vpngate A 195.50.146.134
webmail A 195.50.146.135
koalitionsvertrag A 195.227.129.132
Aha, hier kann man vielleicht den Koalitionsvertrag herunterladen? Heute ist übrigens Franz Müntefering (lesenswerter Link!) zurückgetreten. Fehlen noch Schäuble, Jung, Zypries und Merkel.
Zone „insiders.de“:
Das ist eine besonders schöne Zone, hier hat ein Angreifer bestimmt viel Freude:
_msdcs NS nebukadnezar.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, jukebox.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, nebukadnezar.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, jukebox.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, nebukadnezar.insiders.de
jukebox A 193.22.3.16
nebukadnezar A 193.22.3.42
Für mich sieht das verdächtig nach zwei Domaincontrollern aus. Den Merowinger, Trinity und Neo gibt es in diesem Netz übrigens auch. Ein paar private Adressen fanden sich zum Schluss sowieso noch:
siemens A 192.168.22.23
Zone „tzdresden.de“:
Ein Eintrag ist mir in dieser Zone noch nicht ganz klar geworden:
b161f236-d9a2-43f4-bc8f-e9ba60373639._msdcs CNAME innovativ.tzdresden.de
Kann mir jemand mal bitte die Nummer erklären?
Und noch etwas sinnlose Statistik
Da die Gesamtdatenmenge etwas zu klein ist, sind die folgenden Aussagen natürlich Unsinn … aber amüsant.
- 10% der untersuchten Unternehmen halten Daten auf öffentlichen DNS-Servern, die da nichts zu suchen haben
- mindestens 5% der untersuchten Unternehmen hatten in den letzten Jahren Sicherheitsanalysen, ohne auf dieses potentielle Problem aufmerksam gemacht worden zu sein
- Alle Zonenfiles größer als 8 KB (außer die von Arcor selbst) enthielten private Daten
- www und mail, gegebenenfalls noch mit Ziffer danach sind die beliebtesten Rechnernamen
Wer weitere Daten aus den Arcor-Zonenfiles zusammenträgt darf mir gerne eine Mail schicken …
13. November 2007
Die Raiffeisenbank wird mal wieder Opfer einer Spam-Phishing-Attacke:
Die Titelzeile gefällt mir: „eBanking Private Edition“. Die Angreifer sind auch recht ausführlich bei den Daten, die sie abfragen:
- Herr/Frau
- Vorname
- Familienname
- 10 unbenutzte TAN-Nummern
- Kontonummer
- VR-NetKey
- Alias
- PIN
- Bankleitzahl
- Postleitzahl
- E-mail
Ein wenig gierig sind sie dann natürlich schon:
„Geben Sie 10 unbenutzte TAN-Nummern ein. Wenn Sie weniger als 10 unbenutzte TAN-Nummern haben, so geben Sie alle unbenutzten TAN-Nummern ein“
Die Raiffeisenbank (zumindest meine) ist bezüglich Online-Banking offensichtlich keine besonders gute Wahl:
Problem 1: Die URL des Bankings ist für die Kunden kaum verifizierbar. Jede Raiffeisenbank hat ihre eigene Homepage, die Banking-Startseite liegt auf vr-networld.de, Teile des Internetbankings wiederum beim Dienstleister fiducia.de … wie soll der unbedarfte Bankkunde da erkennen, dass vr-networld.de.hrymn.cn in China liegt?
Problem 2: Die Raiffeisenbank hat neulich erst zur Anmeldung von der Kontonummer (die oft allgemein bekannt ist, z.B. wenn sie auf dem Briefpapier steht) zu einem VR-Netkey, einer davon unabhängigen UserID gewechselt. Vorher konnte man mit der Kontonummer und dreimal falscher PIN problemlos Denial-of-Service Angriffe durchführen.
Problem 3: iTAN, mTAN, TAN-Generator, egal was nur sicherer als die normale TAN ist immer noch komplett Fehlanzeige. Meine Bank konnte mir nicht einmal sagen, bis wann die Einführung von iTAN geplant ist.
Naja, die Deutsche Bank hat das Problem ja bereits per AGB auf die Kunden abgewälzt. Mal sehen, wie das bei der Raiffeisenbank weitergehen soll.
C:\>nslookup
> set type=NS
> arcor.de
Server: dns1.meinprovider.de
Address: 1xx.7.30.125
Nicht autorisierte Antwort:
arcor.de nameserver = ns2.arcor-ip.de
arcor.de nameserver = ns3.arcor-ip.de
arcor.de nameserver = ns1.arcor-ip.de
ns3.arcor-ip.de internet address = 145.253.3.171
ns2.arcor-ip.de internet address = 145.253.2.80
ns1.arcor-ip.de internet address = 145.253.2.19
> server ns1.arcor-ip.de
Standardserver: ns1.arcor-ip.de
Address: 145.253.2.19
> ls -d arcor.de > arcor-zone.txt
[ns1.arcor-ip.de]
#
Erhalten 388 Eintrags.
>
Sehr schön, man kann sich auf einen Schlag die komplette Arcor-Zone ziehen. Das betrifft übrigens gerade alle Arcor-Kunden, deren Secondary DNS-Server auf einem der drei Arcor-Nameserver gespeichert ist.
Seagate/Maxtor hat in Taiwan ein paar mobile 500 GB Festplatten ausgeliefert, die mit zwei Trojanern (autorun.inf und ghost.pif) infiziert waren. Ich finde die Idee ja cool, darauf bin ich nicht mal bei meinen Virenideen gekommen.
„The tainted portable hard disc uploads any information saved on the computer automatically and without the owner’s knowledge to www.nice8.org and www.we168.org, the bureau said.“
Die Taiwanesen verdächtigen jetzt die Chinesen der Spionage. Angeblich werden solche großen Platten hauptsächlich von Regierungsbehörden verwendet. Mehr in der Teipei Times.
(via Fefe)
12. November 2007
… zumindest wenn man sich an Salesforce wendet. Da hat ein Mitarbeiter doch tatsächlich eine Kundendatenbank rausgegeben.
„Salesforce management said it has been re-educating its staff to the dangers of phishing.“
Das kursive finde ich jetzt nett. Awareness ist halt alles.
Aber meine Rede ist ja schon die ganze Zeit, man gibt keine solchen Daten extern. Egal ob es sich um ein Blog oder sonstige Daten handelt. Ich könnte wetten, auch in den Salesforce-AGB steht drin, dass die Daten eh Salesforce gehört haben und Kunden halt Pech hatten.
11. November 2007
(von Fliers Welt kopiert, Copyrightvermerk: „Jeder private User darf meine Cartoons kopieren und weiterleiten.“ Danke)
