27. Januar 2008
Was macht man nun aber, wenn man überall seine peinlichen privaten Fotos in diversen sozialen Netzwerken wie StudiVZ, Facebook, Xing und Co. verteilt hat und sich dann doch auf einen seriösen Job bewerben will? Die Amerikaner haben da einen ganz tollen neuen Dienst erfunden: Reputation Defender, auf deutsch der Reputationsverteidiger.
Thomas Knüwer vom Handesblatt hat schon seine Erfahrungen gemacht, allerdings noch in einer relativ positiven und seriösen Art. Der Reputation Defender hat ihn höflich angeschrieben, einen Verweis auf einen Kunden zu entfernen. Thomas Knüwer hat das nicht gemacht sondern die Mail veröffentlicht. Aus meiner Sicht vielleicht nicht ganz fair aber naja.
Wenn man als Reputation Defender jedoch die Bitte, eine Mail aus einem Mailarchiv zu löschen, an die komplette Mailingliste schickt … dann hat man es nicht anders verdient, verspottet zu werden:
Dear Full Disclosure,
We are writing to you in behalf of Bart Cilfone. He has asked us to contact you and see if you will consider removing the content about him at:
http://seclists.org/fulldisclosure/2008/Jan/0497.html
Please allow us to introduce ourselves. We are ReputationDefender, Inc., a company dedicated to helping our clients preserve their good name on the Internet. Our founders and employees are all regular Internet users. Like our clients, and perhaps like you, we think the Internet is sometimes unnecessarily hurtful to the privacy and reputations of everyday people. Even content that is meant to be informative can sometimes have a significant and negative impact on someone's job prospects, student applications, and personal life. We invite you to learn more about who we are, at www.reputationdefender.com.
Tja, da haben ein paar Leute noch nicht verstanden wie das Internet funktioniert. Aber gut zu wissen, dass da irgendwo anscheinend was negatives über Bart Cilfone steht. Und gut, dass es jetzt auch ein paar tausend Leute wissen.
Manchmal kann man echt nur noch den Kopf schütteln.
26. Januar 2008
Die meisten Menschen gehen ja recht fahrlässig mit ihren persönlichen Daten um. Ein wenig Suche im Internet und man findet praktisch alles, was man sich so vorstellen kann.
Die Welt hat das Thema plakativ mit „Wie Google Karrieren zerstört“ überschrieben und damit vermutlich nicht mal so unrecht. Das Problem ist … wie schützt man sich dagegen?
„Selbst wenn die „formalen“ Anforderungen erfüllt sind, weigern sich Webseiten-Betreiber häufig, Beiträge zu löschen. Dann können sich Betroffene entweder an den Datenschutz-Beauftragten wenden oder rechtliche Schritte einleiten. Letzteres will … gut überlegt sein.“
Hmm … der Welt-Artikel erwähnt den Reputation Defender, der angeblich die ganze Arbeit übernehmen soll … da schreib ich im nächsten Artikel noch was dazu. Eine einfache Lösung ist aber nicht in Sicht und die Persönlichkeitsrechte werden von einigen Gerichten überraschend hoch eingeschätzt. Für mich sieht das so aus als würden noch spannende Probleme die nächsten Jahre auf die juristische Zunft zukommen.
24. Januar 2008
Bei manchen Security Testern frage ich mich ja wirklich: denken die noch selbst oder lassen die die Tools denken und wenn die Tools keine vernünftige Aussage machen, dann rufen wir Mami um Hilfe?
Hier ist wieder so ein Beispiel. Der Autor SkyOut beispielsweise schlägt eine coole Technik vor, um Nikto zu täuschen: ErrorDocument redirects.
Die Kurzusammenfassung lautet in etwa, man verwende
ErrorDocument 400 http://example.com
ErrorDocument 401 http://example.com
ErrorDocument 403 http://example.com
ErrorDocument 404 http://example.com
ErrorDocument 405 http://example.com
ErrorDocument 500 http://example.com
und schon liefert Nikto einen Haufen False Positives:
"+ /admin/config.php - Redirects to http://example.com/ , PHP Config file
may contain database IDs and passwords."
SkyOut schreibt dazu:
„This will be annoying and means a lot of work to filter out, what is wrong and what is interesting. […] Summarizing this we could say, that Nikto is useless or let’s say, it is not that automatic as it was before our changes because now the user does have to do A LOT of work by him- or herself.“
Stimmt: grep -v „Redirects to http://example.com/“ Ich gebe zu, das ist krass viel eigene Arbeit.
Ich versteh’s manchmal echt nicht. Penetrationstests sind ein wenig mehr als nur automatische Tools wie Nmap, Nessus, Nikto, LANguard und Co. zu starten, aus der Ausgabe ein PDF zu machen und an den Kunden zu schicken. Natürlich steckt die meiste Arbeit in der Auswertung aber genauso gibt es bessere Tools als Nikto und mit ein wenig Kenntnissen von grep und awk (ich empfehle das Buch Unix Power Tools!) hat man den Schrott ruck-zuck ausgefiltert. Seufz.
Naja, coole Domainnamen (Smash the Stack) und leet Kapitelnummern (0x01) garantieren halt noch keinen brauchbaren Inhalt.
17. Januar 2008
🙂
(via drno, hier auch größer)
14. Januar 2008
SANS hat im Reading Room einen hervorragenden Artikel zu VoIP Security zusammengestellt. Aus dem Inhaltsverzeichnis:
- Introduction
- Security vulnerabilities transitioning from POTS to VoIP
- Real Time Protocol (RTP)
- Asterisk and Inter-Asterisk Exchange (IAX)
- Session Initiation Protocol (SIP)
- Skype
- Cisco VoIP
- Conclusion
insgesamt 125 Seiten. Ich habe den Text bisher nur kurz überflogen, sieht aber sehr detailliert und fundiert aus. Ein echtes must-read. Nur einen neuen moderneren Font könnte sich SANS mal aussuchen …
(via SIPVicious)
12. Januar 2008
Viele Blogs, insbesondere die mit vielen Kommentierenden und viel Spam benötigen gute Verfahren wie Captchas, um die Spammer außen vor zu halten. Reine Spamfilter wie Akismet, die bei mir und meinem geringen Aufkommen gut funktionieren sind für große Seiten kaum zu gebrauchen, weil das Reporting jedes Spams die Datenbank voll belastet. Robert Basic kann da ein Lied von singen.
Die einfachen und billigen Verfahren funktionieren jedoch auch nicht ganz sauber. So gibt es ein Math-Plugin für WordPress, das bei der Eingabe eine simple Frage wie „sum of 9+9“ stellt. Die Jungs von Webmaster-Verzeichnis haben sich dazu ein paar Gedanken gemacht. Hier das Ergebnis, 60% der Blogs lassen sich so überlisten.
Grafischen Captchas geht es übrigens nur selten besser.
Ich bleibe erstmal bei Akismet 🙂
10. Januar 2008
Securityfocus hat eine Artikel von Symantec Research (äh … Symantec und Research ohne Negation in einem Satz?) veröffentlicht, in dem sie beschreiben, dass ein böser Hacker:
- eine böse und eine harmlose Applikation programmiert
- beide Applikationen so verändert, dass sie den gleichen MD5-Hash produzieren
- die harmlose Applikation auf einen Webserver legt
- wartet, bis der Hash dieser Applikation es in die Whitelist-Tabellen der Virenscanner geschafft hat
- die böse Applikation auf den Webserver legt
- den Schadcode ausführen kann, weil er per Whitelist erlaubt wird
Schön, dass Symantec das schon 2008 aufgefallen ist. Nur, das ist ja so etwas von … da muss ich lange nachdenken … 2004! Dan Kaminsky hat ein vergleichbares Problem bereits 2004 auf Doxpara als PDF veröffentlicht und in Folge in seinen BlackOps TCP/IP Präsentationen (PPT) live vorgeführt. Das Tool confoo.pl hat er damals bereits auf seiner Webseite bereitgestellt.
Aber gut, wir wissen ja, dass Symantecs Norton Antivirus manchmal auch nicht gerade der schnellste ist. 🙂
8. Januar 2008
von hier, inzwischen sind zwei dazugekommen. Aktuelle Liste:
- Adblock (nicht Adblock Plus)
- Add N Edit Cookies
- DOM Inspector
- Exif Viewer
- Fasterfox
- FlashGot
- FoxTorrent
- NoScript
- Neu: Objection (um Flash-Cookies zu lösche, siehe Fukami)
- SEO For Firefox
- Server Spy
- ShowIP
- Tamper Data
- Neu: User Agent Switcher
Es gibt noch ein paar weitere Extensions aus FireCAT, die ich mal testen möchte aber bisher nicht dazugekommen bin.
7. Januar 2008
Ich habe ja früher selbst mal (mehr oder weniger erfolgreich) ein wenig C++ programmiert aber so richtig anfreunden konnte ich mich mit der Programmiersprache nie. Ein besonderer C++ Basher ist bekanntlich Fefe, der dazu schon einen fiesen Vortrag (PDF) gehalten hat.
Und nun finde ich passend dazu die C++ Frequently Questioned Answers (FQA). Ei paar Auszüge:
- Operator overloading provides strong source code encryption (the time needed to figure out what a+b actually means is an exponential function of the number of types, implicit conversions, template specializations and overloaded operator version involved).
- One thing is always true: where you can use C++, you can use C. In particular, if someone gave you C++ interfaces, a thin layer of wrappers will hide them. Using C instead of C++ has several practical benefits: faster development cycle, reduced complexity, better support by tools such as debuggers, higher portability and interoperability. When C++ is an option, C is probably a better option.
- Empirical studies indicate that 20% of the people drink 80% of the beer. With C++ developers, the rule is that 80% of the developers understand at most 20% of the language. It is not the same 20% for different people, so don’t count on them to understand each other’s code.
Wunderbar 🙂
Nachtrag:
Ein paar schöne Irrtümer gibt es auch bei Cay Horstmann.
4. Januar 2008
Herr GröIaZ Schäuble, bitte übernehmen Sie:
Amazon verkauft Uran über das Internet!
Aber so einen Steampunk-Laptop hätte ich auch gerne 🙂
(via SZ)
