31. Oktober 2007
Motorola hat angekündigt, SMS scannen zu wollen um passend für den Nutzer Werbung einblenden zu können. Im Grunde scheint das erst einmal nichts anderes zu sein als Google mit Google Mail anstellt. Die Inhalte werden maschinell analysiert und passende Werbung dazu mit angezeigt. Motorola hat angekündigt, ein Opt-In-Verfahren zu implementieren, d.h. der Nutzer muss zustimmen, dass seine SMS ausgewertet werden.
Interessanterweise scheint die Handynutzung anders wahrgenommen zu werden als die E-Mail-Nutzung. Jedenfalls laufen im Gegensatz zu Google Mail die Datenschützer gegen das Vorhaben Sturm. Insbesondere die Verknüpfung von SMS-Inhalten mit den Positionsdaten könnte Bauchschmerzen bereiten. Andererseits wird sich SMS-Werbung nicht auf Dauer vermeiden lassen. Spätestens wenn Google mit einem kostenlosen Handy wirbt, ist die Verlockung groß.
Mich wundert ja eh, warum Schäuble und Co. nicht längst in den Markt eingestiegen sind. Mit kostenlosen werbefinanzierten SMS wäre mindestens die Hälfte der Bevölkerung sofort bereit, die Inhalte auch einer externen Firma zur Verfügung zu stellen. Warum also nicht dem Verfassungsschutz? 🙂
(via Golem)
28. Oktober 2007
Der L-Root-Server, betrieben von ICANN bekommt eine neue IP-Adresse. Das ist nicht so ganz ohne, weil die diversen Hint-Files in den Nameservern normalerweise manuell gepflegt werden und deshalb jetzt sehr viele DNS-Server manuell aktualisiert werden müssen. Zum Glück kommt das nicht allzu oft vor und es gibt ja noch 12 andere Server 🙂
Jedenfalls … hier die aktuell gültige Liste (auch zum bequemen nachkucken für mich selbst):
; formerly NS.INTERNIC.NET
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201
;
; formerly C.PSI.NET
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
; formerly TERP.UMD.EDU
. 3600000 NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90
;
; formerly NS.NASA.GOV
. 3600000 NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
;
; formerly NS.ISC.ORG
. 3600000 NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
;
; formerly NS.NIC.DDN.MIL
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
;
; formerly AOS.ARL.ARMY.MIL
. 3600000 NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
;
; formerly NIC.NORDU.NET
. 3600000 NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
;
; operated by VeriSign, Inc.
. 3600000 NS J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
;
; operated by RIPE NCC
. 3600000 NS K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
;
; operated by ICANN
. 3600000 NS L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42
;
; operated by WIDE
. 3600000 NS M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33
25. Oktober 2007
Ich bin ja froh, dass ich mit meinem Blog kein Geld verdiene (und auch nicht muss). So ein Blog kann schnell mal gehackt werden, z.B. durch einen PHP Fileinjection-Bug oder eine falsch initialisierte Variable und selbst die diversen Einstellungen wie „register_globals“ oder „allow_url_include“ genügen manchmal einfach nicht mehr.
Robert Basic berichtet vom Werbeblogger, der wegen ein paar versteckten Links aus dem Google Index geflogen ist:
„In diversen Seiten über den Tags, versteckt mit „position:absolute; top:-3333px; left:-2222px“…“
Das ist dann natürlich Pech. Ich verweise nur auf diesen Beitrag, der ein paar wichtige Einstellungen aufzählt.
Auf diversen Seiten und in den Kommentaren findet man auch Tipps, was man dagegen tun kann:
- Source Code der Seiten anschauen, insbesondere Links mit seltsamen Positionen
- Blogsuche nach typischen Spam-Keywörtern wie Cialis, Viagra, etc. (Mist, jetzt wird in Zukunft immer dieser Beitrag gefunden 🙂 )
- Blogsuche nach „geturls“
- Referrer-Statistik nach ungewöhnlichen Keywörtern auswerten
- Auswertung der Links einer Seite mit dem Firefox-Addon „Link Grab!„
- Google-Suche mit dem „site:“-Operator nach Spam-Keywörtern
- und natürlich aktuelle Software verwenden
Also, Augen auf beim Bloggen …
24. Oktober 2007
Das Web Application Security Consortium (WASC) hat einen Open Proxy Honeypot entwickelt, mit dem sich Angriffe auf Webserver beobachten lassen.
Der Proxy sieht von außen aus wie ein normaler Open Proxy, läuft jedoch in einem VMWare-Image und protokolliert detailliert die durch ihn durchgeführten Angriffe mit. WASC hofft dadurch, ausreichend HTTP-Traffic zum Beobachten zu bekommen,um Angriffe zu analysieren und besser verstehen zu können.
Ach ja, und sie suchen noch Freiwillige, die ihren Proxy hosten.
Ich frag mich ja … wenn durch so einen Proxy ein System kompromittiert wird. Die IP-Adresse des Angreifers ist ja dann meine. Zivilrechtlich besteht in Deutschland vermutlich Anspruch auf Unterlassung wegen Mitstörerhaftung. Strafrechtlich ist vielleicht nicht unbedingt was zu befürchten, aber wir kennen das ja von den TOR-Betreibern. Die Freunde in den silber-grünen Autos treten gerne zuerst mal die Tür ein um dann erst zu ermitteln, worum es eigentlich geht. Wie hoch ist da denn das Risiko? Liest zufällig ein Anwalt mit?
Naja, laut FAQ sagen sie den Hackern, dass diese überwacht werden und die Angriffe werden auch nicht weitergeleitet. Lustig, diese Amis.
21. Oktober 2007
Einer Brauerei in Neuseeland ist ein wichtiges Notebook geklaut worden, schreibt The Inquirer. Die Croucher Brewing Company hat zwar Backups aber die sind offensichtlich veraltet. Deshalb wurde den Dieben Freibier versprochen:
„We will supply that person with one dozen Croucher Brewing boutique beer every month for the rest of their life!“
Bisher hat sich jedoch keiner gemeldet, offensichtlich ist die Biermenge zu gering … hicks. Ich bin sicher, die Notebookverlustspezialisten von Ernst & Young könnten helfen.
19. Oktober 2007
naja, nicht ganz. Aber sie empfehlen wegen Probleme mit dem Realplayer-Plugin im Internet Explorer entweder den IE nicht zu verwenden oder zumindest vorher den Realplayer zu deinstallieren.
Das dumme dabei ist, vieles geht ohne Internet Explorer gar nicht (naja, außer die Konfiguration der Check Point SecurePlatform, die geht mit dem IE nicht). Und es gibt tatsächlich noch Entwickler, die Software so programmieren, dass sie nur mit dem Internet Explorer funktioniert. Meistens von offensichtlich inkompetenten Entwicklern beim Staat, die sich nicht um Benutzerfreundlichkeit scheren müssen sondern die Nutzung per Gesetz erzwingen (wie bei Elster). Im Grunde gehören solche Schnarchnasen sofort wegen grober Unfähigkeit rausgeworfen.
(via Infosec-Blog)
15. Oktober 2007
Den Cable Guy von Microsoft habe ich hier ja schon mal erwähnt. Seine Hauptaufgabe ist anscheinend nur noch, irgendwelche proprietären Protokolle zu promoten, die angeblich besser sind als die Standards. Diesen Monat wird AuthIP aufgegriffen, eine proprietäre Erweiterung/Alternative zu IKE, dem Schlüsselaustauschprotokoll von IPSec. Problematisch ist jedoch, dass nur Windows Vista und der zukünftige Windows 2008 Server AuthIP unterstützen und AuthIP nicht kompatibel zum zukünftigen IKEv2-Standard ist.
Entsprechend sah sich Microsoft genötigt, möglichst umfassende Abwärtskompatibilität sicherzustellen. Ein AuthIP-Gateway versucht daher immer, über beide Protokolle (AuthIP und IKE) gleichzeitig einen Schlüsselaustausch anzustoßen:
- Nachricht 1 – eine AuthIP-Nachricht, die die Hauptmodusaushandlung initiiert
- Nachricht 2 – eine IKE-Nachricht, die die Hauptmodusaushandlung initiiert
Wenn die Gegenstelle auf AuthIP antwortet, wird dem Austausch mit AuthIP der Vorzug gegeben. Wenn nicht, geht praktisch keine Zeit für einen Timeout verloren, da die IKE-Nachricht gleichzeitig verschickt wurde.
Leider gibt es für AuthIP keinen RFC, das Protokoll hat daher nicht die geringste Chance, zukünftiger Internet-Standard zu werden. Ganz im Gegensatz zu IKEv2, das in RFC 4306 definiert ist.
Oder anders ausgedrückt: Eine Totgeburt wie SSTP, folglich besteht hier die nächsten Jahre kein Handlungsbedarf. Bitte gehen Sie weiter, es gibt nichts zu sehen.
10. Oktober 2007
Die Schweizer „Die Wochenzeitung“ hat einen ganz netten Artikel über Computerviren zusammengestellt. Der Anlaß ist der 25. Jahrestag des ersten weiter verbreiteten Virus Elk Cloner.
„Zu Weihnachten 1981, so will es der Mythos, bekam Richard Skrenta, ein fünfzehnjähriger Highschoolstudent aus Pittsburgh, einen der damals verbreiteten Apple-II-Kleincomputer geschenkt. Um seine Schulkollegen zu ärgern, schrieb er im Jahr darauf ein kleines, sich selbst reproduzierendes Programm, das sich über Floppydisketten verbreitete. Der «Elk Cloner» gilt als erstes Computervirus «in freier Wildbahn».“
Sehr schön, so ein wenig Historie. Heute ist leider alles viel schlimmer.
zum WOZ-Artikel
5. Oktober 2007
Der Storm Worm bildet inzwischen das größte globale Botnetz aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat errechnet, dass die Leistung des Botnetzes locker die der größten Supercomputer übertrifft.
Bruce Schneier hat eine Analyse des Storm Worm zusammengefasst. Er spricht von der Zukunft des Schadcodes.
- Der Wurm ist geduldig. Er greift nicht permanent an sondern führt einige Angriffe durch und versteckt sich dann wieder um nicht erkannt zu werden.
- Der Wurm verwendet Aufgabenteilung wie in einem Ameisenhaufen. Einige Instanzen verbreiten den Wurm weiter, andere dienen als Kontrollzentren, die restlichen warten auf Anweisung. Dadurch wird der Wurm immun gegen das Abschalten einzelner Systeme.
- Storm verursacht keine spürbaren Schäden an komprimittierten Systemen. Die Anwender merken keine Änderung im Verhalten, das einen Administrator alarmieren könnte.
- Der Storm Wurm verwendet zur Kommunikation Peer-to-Peer Funktionen statt eines zentralen Servers. Auch dadurch wird es fast unmöglich, den Wurm auszuschalten.
- Die Kontrollsysteme sind nicht nur durch Peer-to-Peer Techniken geschützt, sie verstecken sich auch im DNS durch „Fast Flux“, d.h. ständig wechselnde DNS-Einträge.
- Die Schadroutinen von Storm verändern sich durch Code-Morphing automatisch, was eine Erkennung durch Virenscanner erschwert, da feste Signaturen nicht verwendet werden können.
- Die Verbreitungsverfahren des Wurms werden auch ständig angepaßt. Per Mail, als Einladung zu einer Webseite, über Lücken im Browser … sobald eine Lücke geschlossen wird, greift der Wurm auf eine andere zu.
- Die zur Verbreitung verwendeten E-Mails, sowohl Subject als auch Inhalt werden ständig an aktuelle Ereignisse angepasst. Wenn die NFL eröffnet werden Tickets angeboten, bei schweren Stürmen Wetterinformationen, etc.
- Der Wurm greift gezielt Anti-Spam-Seiten an, die seine Verbreitung behindern sowie Forscher, die ihn analysieren. Damit soll das Wissen über den Wurm beschränkt werden, um die Ausbreitung nicht weiter zu gefährden.
Eigentlich bestätigt das nur, was ich seit geraumer Zeit in meinen Vorträgen erzähle. Schadprogramme werden von organisierten Banden geschrieben und nicht mehr von gelangweilten Jugendlichen im elterlichen Kinderzimmer.
Nur F-Secure ist anderer Meinung.
27. September 2007
Nur ein paar Links:
Aber vorsicht, es könnte auch ein Honeypot Proxy sein!
