Mitternachtshacking

Schon etwas länger her, aber die Überschriften von The Register sind einfach zu gut …

Virus writers have girlfriends – official
And some don’t even need inflating

Aha.

Das erinnert mich an einen früheren Job in einer Bank. Da gab es zum Surfen im Internet einen sehr restriktiven URL-Filter. Alles was irgendwie anstößig war, wurde verboten. Hacking, Rotlichtseiten (um das böse P-Wort zu vermeiden), sogar die Seiten von anderen Banken wurden blockiert. Und nur der Vorstand durfte über Ausnahmen entscheiden.

Und dann geht Beate Uhse an die Börse …

… wegen Geschäftsschädigung. Das gibt es auch nur bei den Amis.

Zango, laut Infoworld früher als 180solutions bekannt, hat PC Tools, den Hersteller von Spyware Doctor verklagt, da dieser die Zango Spyware Nutzsoftware als Spyware einstuft. Wenigstens schließt sich die US-amerikanische FTC der Meinung an, dass Zango Nutzsoftware Spyware ist.

Ich bin gerade am Installieren eines Servers, das dauert wie üblich ein wenig. Daher kann ich mal kurz die Bedrohungsanalyse prüfen:

• Symantec ThreadCon: grün
• SANS/Dshield.org: grün
• IBM ISS AlertCon: grün

Ich verstehe das nicht … wollen die alle keine IT-Security Produkte mehr verkaufen? 🙂

a074b01b79207eaec03dbad343997c6c ist ein MD5-Hash von irgendwas, was ich weiß und vielleicht oder vielleicht auch nicht oder so eventuell mal hier oder woanders posten werde. Ich will aber jetzt schon mal festhalten, dass ich das, was ich noch poste, jetzt schon weiß, damit jeder weiß, dass ich das als erstes gefunden habe, aber nur nicht veröffentlicht habe oder schon oder woanders oder was weiß ich denn.

Dieses lustige MD5-Hash posten scheint der neueste Trend in der Veröffentlichung von Sicherheitslücken zu werden. Halvar Flake, Didier Stevens und Kai Hampelmann, alle veröffentlichen MD5-Hashes die keinen interessieren um irgendwann mal behaupten zu können: „Ich hab’s gewusst!“.

Im Prinzip ist mir das ja egal. Entweder man macht Full Disclosure, d.h. man veröffentlicht alle Details einer Sicherheitslücke oder nicht. Wenn nicht, dann sagt man nur dem Hersteller wo das Problem ist und wartet halt ein halbes Jahr oder länger auf die Patches. Microsoft und Oracle sind da so Spezialisten. Solange eine Lücke nicht öffentlich bekannt ist, passiert erst einmal gar nichts oder sehr wenig und ein Patch dauert dann halt gerne mal 300 Tage oder gerne auch mal länger. Die Advisories von eEye können da ein Lied von singen. Stand heute, 19.05.2007: EEYEB-20061024, Vendor Microsoft, Days sind initial report: 208!

Das Problem mit den MD5-Hashes ist nur, dass sich die Typen dann hinstellen und hinterher behaupten, sie hätten ja schon früh was veröffentlicht und sei es nur der MD5-Hash gewesen. Eine nette Pervertierung von Full Disclosure. Ich denke, die MD5-Poster sollte man am besten gar nicht mehr ernst nehmen.

Ach ja, und wer herauskriegt, was hinter dem obigen Hash steckt, bekommt ein Bier von mir 🙂

http://kryptochef.net/

ohne weiteren Kommentar.

(via Heise)

Nach dem ich neulich schon auf das nette ASCII Bulletin Board hingewiesen habe, ist mir heute bei Robert Basic dieses nette Blog im C64 Design untergekommen.

Sehr nett 🙂

Soso, The Inquirer schreibt über Hacker. Wörtlich:

„Um den Anschein des Illegalen zu verwischen, geht es offiziell nach Außen hin um Sicherheits-Kurse (The Inquirer).“

Ist The Inquirer eigentlich eine seriöse Zeitung oder mehr so wie Bild? Braucht es neben BildBlog auch einen InquirerBlog?

Ich fühle mich jedenfalls gerade köstlich unterhalten, weil ich selbst verschiedene Hacking Kurse, u.a. den angegriffenen „Certified Ethical Hacker“ halte. Beispielsweise bei CBT Training & Consulting, falls mal ein Leser teilnehmen möchte. Und für die Journalisten beim Inquirer: Ja, die Hacking-Kurse braucht es. Nur wenn man versteht, wie Hacker denken und vorgehen, kann man sich effizient dagegen schützen. Bei der Polizei nennt sich das wohl „Profiler“.

Oder wie es Sun Tzu in „Die Kunst des Krieges“ formuliert hatte:

„Wer seinen Feind kennt, und auch sich selbst, wird in hundert Kämpfen niemals in Gefahr sein.“

Aus einer Mail an die DailyDave Mailingliste:

binfu (bin foo): The fine art of inadvertantly causing unexpected system downtime, outages, and file deletions. „binfu“ was first used to describe the action of „accidently“ performing an „rm -rf“ on the directory /usr/bin. Once binfu has been exercised, it is best bystanders stand clear, since vulgar language and flying objects often follow the use of binfu. „My your binfu is so excellent.“ – Bamm to Rich (circa 2000)

Aha.

Spiegel.de berichtet, dass die Firma Scansafe ein neues Geschäftsfeld eine neue Filtersoftware entwickelt, die anstößige Inhalte in Blogs wie diesen hier herausfiltert.

„Scansafe durchsucht den Datenverkehr seiner Kunden und sperrt Seiten nach im Voraus definierten Kriterien. Wurde eines davon einmal erfüllt, gilt ein Blog als anstößig.“ (Spiegel.de)

Offensichtlich genügt es also, ein einziges mal „fuck“ oder eines der anderen bösen Wörter zu schreiben und schon wird das Blog komplett gesperrt.

Ups … jetzt können die ganzen amerikanischen Filterjunkies ja gar nicht mehr auf meine Texte zugreifen. So ein Pech aber auch.

Auf The Register: Ein New-Yorker Sicherheitsforscher hat weniger als 12 Stunden gebraucht um eine neue Sicherheitslücke in Apples Safari zu finden und damit einen Preis von 10.000 USD zu gewinnen. Den Preis hat übrigens Tipping Point gesponsort.

Wieso wundert mich das jetzt alles nicht?

Aber werden die Systeme dadurch sicherer?