24. November 2007
bei Technology Review. Für 6,80 Euro. Muss ich mal im Bahnhofskiosk durchblättern, ob sich das lohnt.
Nachtrag (Sonntag, 25.11.07, 17:04)
Es lohnt sich nicht. Ich habe mir das Heft vorhin am Flughafen angeschaut. Es liegt da interessanterweise nicht bei den Computerzeitschriften, darum habe ich es anfangs nicht gefunden sondern bei Wirtschaft, direkt neben dem Manager Magazin.
Eine Doppelseite wird verwendet, um in einer tollen Infografik zu erklären wie unser Trinkwasser aufbereitet wird, eine zweite Doppelseite liefert dann ein wenig Text dazu und wie einfach Terroristen doch unser Trinkwasser vergiften könnten. Im Grunde ein Aufwasch des Vortrags „How safe is a glass of water„, 2003 auf der Brum2600 Konferenz in Birmingham.
Eine dritte Doppelseite braucht es für ein Bild der Norwegian Pearl und einen Bericht, warum in Europa der Strom ausgefallen ist, als bei Papenburg eine Leitung von Eon abgeschaltet wurde. Kernaussage hier, die Stromkonzerne investieren viel zu wenig in ihre Infrastruktur, also eigentlich auch nichts neues.
Auf einer weiteren Doppelseite darf sich Prof. Beyerer vom Fraunhofer IITB darüber auslassen, wie toll sie doch bei Fraunhofer sind und alles super im Griff haben. Nur komisch, dass ich von denen (egal ob IITB, IPK oder IFF) praktisch noch keine relevante Veröffentlichung zur Sicherheit in der Prozessautomation gesehen habe. Ich habe ja den Verdacht, dass die von den vielen Fördergeldern hauptsächlich heiße Luft produzieren.
Und schließlich kommt noch Bruce Schneier zu Wort, der zur ganzen Thematik einen kurzen Kommentar abgeben darf.
Meiner Meinung nach investiert man da sein Geld lieber in die KES 2006#1, da gibt es einen guten Artikel zur Sicherheit in Leittechnik von Stefan Kubik und von mir. Falls es das Heft nicht mehr gibt, wir haben einen Nachdruck unseres Artikels, einfach eine kurze Mail an mich, dann schicke ich eine Kopie zu.
Unglaublich, sogar in UK ist bereits bekanntgeworden, dass es möglich ist VoIP-Gespräche abzuhören. Und noch unglaublicher, ein VoIP-Security „Experte“ namens Peter Cox (Mitgründer von Borderware) hat eine „Proof-of-Concept“ Software veröffentlicht mit der sich VoIP-basierte Telefongespräche abhören lassen. Und das allerkrasseste: das ist sowohl dem Inquirer als auch PC World eine Schlagzeile wert.
Wenn ich richtig informiert bin, hat Kollege Matthias das Abhören von VoIP-Gesprächen bereits am 24. April vorgeführt. Dazu genügt ein handelsübliches, d.h. frei erhältliches Cain & Abel. Mit diversen SIP-Tools kann man sogar noch viel mehr anstellen.
Ach ja … veröffentlicht ist übertrieben. Cox hat nur eine Webseite aufgesetzt, wo man ein paar aufgezeichnete VoIP-Gespräche mithören kann.
Es gibt also nichts zu sehen. Bitte gehen Sie weiter.
oder wie man für 4,76 Euro legal an Microsoft Windows Vista kommt.
Die Süddeutsche Zeitung hat es herausgefunden.
23. November 2007
Der Fahrplan für den Chaos Communication Congress ist da.
Man merkt, dass der CCC dieses Jahr nicht genug Vorträge zusammenbekommen hat. Der Raum 4 wird gar nicht mehr benötigt und auch zwischendrin sind eine Menge Lücken in denen nicht viel passiert. Vielleicht ist das gut und fördert die Diskussionskultur, möglicherweise schlecht weil dann viel weniger Leute kommen. Mal sehen. Eine Eröffnungszeremonie wie sonst immer gibt es auch nicht, es fängt direkt am ersten Tag mit den Vorträgen an. Sehr seltsam.
Mein Programm mit den Themen die mich interessieren würden:
1. Tag:
Parallel läuft VX, den werde ich wohl leider verpassen (bzw. später das Video ankucken). Die Show von Prof. Johannes Grenzfurthner (joah, der ist wirklich Professor, an der FH Joanneum Graz) hat mir auf dem Camp nicht gefallen, die schenke ich mir voraussichtlich dieses Mal. Mir fällt auf, dass politische bzw. Community-Themen dieses Jahr stark vertreten sind und die klassischen Hacking-Geschichten weniger werden.
2. Tag:
Leider parallel zu FX läuft „Inside the Mac OS X Kernel„, eventuell gehe ich auch da rein. Und statt in das Survival in „Das Panoptische Prinzip„. Das sieht beides sehr spannend aus.
3. Tag:
Interessant wäre auch der parallel zu Ring Zero/UID Zero laufende Vortrag „Current events in Tor development„. Mich würde interessieren, ob der Referent auf die Vorfälle mit dem schwedischen Hacker und den Botschaftspasswörtern eingeht. Der Vortrag „Mein Finger gehört mir“ parallel zu FX wäre als politisches Thema sicher auch interessant. Wenn FX nichts spannendes einfällt, kann ich ja rübergehen. Am dritten Tag sind sehr viele politische Themen, also Wahlen und Pässe. Das dumme daran ist nur, ich habe nicht den Eindruck, das würde im geringsten was bewegen. Der Schäuble ist 100% beratungsresistent, der würde die Vernunft nichtmal annehmen, wenn sie ihm in einem Geldkoffer gebracht wird.
4. Tag:
Interessant wäre sicher auch „I know who you clicked last summer„, das Daten aus Social Networks auswertet. Damit kann man gut die Leute erschrecken. Ich erinnere nur an das PKI Book Projekt von pdp.
Alles in allem scheint mir aber deutlich weniger los zu sein als die letzten Jahre. Kein Vortrag von Dan Kaminsky, nichts neues von THC, anscheinend bleiben die Amerikaner dieses Jahr dem Congress fern. Ich hoffe das liegt nicht an diesem unsäglichen § 202c StGB. Und für Fefes Fnord-Rückblick wäre auf jeden Fall noch Zeit gewesen. Den zu kegeln finde ich eine dumme und kurzsichtige Entscheidung des Programmkomitees. schämt Euch.
Für 80 Euro Eintritt ist das ein sehr schönes und umfangreiches Programm. Aber ganz ehrlich, es erreicht definitiv nicht das Niveau der letzten beiden Jahre. Das kann daran liegen, dass einige Themen bereits auf dem Camp gelaufen sind, ist aber sehr schade für den Congress. Mal sehen, wie sich das die nächsten Jahre weiterentwickelt.
22. November 2007
Mal wieder Accor … ich mag die nicht und Gründe gibt es viele. Neulich erst wieder … der Internet-Zugang in so einem Accor-Hotel (diesmal das Mercure Bonn Hardtberg, ehemals Novotel), eine einzige Katastrophe.
Internet-Zugang geht nur über Vodafone Wireless. Das ist vermutlich die teuerste Internet-Verbindung die es in Deutschland überhaupt noch gibt. In dem Mercure haben die für 24 Stunden glatt 24,90 Euro genommen. Nur zum Vergleich, der DSL-Flatrate-Zugang von Vodafone kostet pro Monat auch nur 29,95 Euro. Ich finde das unglaublich frech. Selten solche Abzocker gesehen. Und dann läuft das nicht mal richtig stabil. Alle paar Minuten hatte ich fette Aussetzer, es kommt nur noch eine Fehlermeldung vom Browser. Da geht dann gerne mal 15 oder 20 Minuten gar nichts, aber die 24 Stunden Zeitspanne läuft natürlich ab. Das ist nämlich nicht Online-Zeit sondern gilt ab dem ersten Login und dann ist Schicht im Schacht.
Heute auch wieder, diesmal ein Dorint, in Garmisch-Partenkirchen. Die gehören zwar anscheinend seit 16. Januar 2007 nicht mehr zur Accor-Gruppe aber die Vodafone-Verträge haben die wohl auch noch. Und natürlich den gleichen schlechten Zugang. Immer wieder Komplettaussetzer, teilweise für 10, 15 Minuten. Und natürlich wieder grausam teuer.
Statt gegen die Telekom zu klagen sollte Vodafone lieber mal ihr eigenes Netz in Ordnung bringen. Meine persönliche Meinung aus den bisherigen Erfahrungen kristallisiert immer mehr: Finger weg von Accor (Etap, Ibis, Novotel, Mercure), Finger weg von Dorint und Finger weg von Vodafone.
21. November 2007
Phishing via Tor-Exit-Nodes ist eigentlich nichts ganz neues und die Erfinder von Tor weisen auch immer wieder darauf hin, dass Tor keinen Schutz vor dem Ausspähen von Daten bietet. Inzwischen findet man sogar Tor-Exit-Nodes, die gezielt nur unverschlüsselte Protokolle erlauben. Das erleichtert natürlich massiv das Phishing. Es sind sogar schon Exit-Nodes aufgetaucht, die falsche Zertifikate für Man-in-the-Middle-Angriffe herausgeben. Interessanterweise sitzt der Node in Deutschland (217.233.212.114, Dt. Telekom).
Hmm … vielleicht könnte das ein neues Geschäftsmodell ergeben …. ?
20. November 2007
Cisco hat ein neues Corporate Security Blog. Ich bin ja mal gespannt, ob da mehr drin steht als das übliche Marketingblabla. Wenn das so wird, wie das Google Online Security Blog, in dem alle paar Monate mal ein Artikel drinsteht, wird es sich nicht lohnen da reinzukucken.
19. November 2007
Privacy ist ja sowas von old school, wen interessiert denn das noch? Ein paar Beispiele:
- Apple fällt gerne mal unangenehm auf, wenn es um das iPhone geht. Bei einige Anwendungen wie beispielsweise der Abfrage der Börsenkurse oder des Wetters wird eine IMEI-Nummer an Apple übertragen. Das scheint zwar nicht die IMEI des Telefons zu sein, notwendig ist die Übertragung aber trotzdem nicht und sollte daher mit Blick auf die im Bundesdatenschutz geforderte Datenvermeidung unterbleiben.
- Facebook wiederum observiert gerne mal, wo die User so im Web surfen. Von dritten Plattformen wird das Surfverhalten automatisch an Facebook gemeldet. Die Meldung erfolgt sogar, wenn der Facebook-Nutzer die Ausgabe dieser Daten in seinen Optionen abgeschaltet hat.
- World of Warcraft wiederum kommt mit einer Software („Warden“) zum Schutz der Spielintegrität, die verschlüsselt und für jeden Anwender unterschiedlich ist (und regelmäßig verändert wird), so dass kein Nutzer mehr sicher sein kann, was Warden tatsächlich macht. Vermutlich werden keine Daten ausspioniert aber leider kann das auch niemand verifizieren um sicher zu gehen.
Ich versuche ja konsequent (auch wenn das nicht immer geht) solche Produkte zu meiden. Insofern kein Apple iPhone kaufen (ist eh nur Hype), nicht World of Warcraft spielen (interessiert mich nicht) und von Facebook, StudiVZ und Co. lasse ich weitgehend die Finger weg (ausgenommen Xing, aber ich pass auf was da steht).
Andererseits frage ich mich (z.B. auch bei HD-DVD und Blu-ray) langsam schon, ob die großen Konzerne den Bürger nur noch für Cashvieh halten und sich nicht mehr um grundlegende Rechte scheren müssen? Aber naja, der Bundesdatenschutzbeauftragte Schaar hat ja auch (unter Verkennung bzw. großzügigen Ignorierens der Rechtslage) den Providern erlaubt, Verbindungsdaten zu speichern selbst wenn sie nicht zu Abrechnungszwecken benötigt werden. Was will man da noch erwarten.
Am Freitag hat Kollege Matthias wieder eine Hacking-Show … Hacking VoIP auf der CBT Security Tagung in Garmisch-Partenkirchen.
Beim Update der Tools und allgemein so beim Herumschauen was es noch so alles gibt, ist mir SIPvicious aufgefallen, das mir bisher nicht auf dem Radar aufgetaucht ist.
SIPvicious besteht aus vier Hauptprogrammen:
- svmap, der SIP-Scanner. Er findet und identifiziert SIP-Geräte und SIP-Server und kann SIP-Methoden wie REGISTER oder INVITE verwenden, um die Geräte zu aktivieren.
- svwar, ein SIP-Wardialer. Damit lassen sich interessante und aktive Rufnummern auffinden.
- svcrack, ein SIP-Cracker. Damit lässt sich die SIP Digest Authentication brechen. svcrack verwendet dazu eine Reihe von Wörterbüchern mit gängigen Passwörtern.
- svreport, das Reporting-Tool. Mit diesem Programm lassen sich die Aufrufe der anderen Tools verwalten und fast automatisch Berichte als PDF, XML, CVS und TXT erzeugen.
Alle Programme sind in Python geschrieben, d.h. sie kommen auch komplett im Source Code.
Zu den Tools gibt es ein Blog, das über aktuelle Entwicklungen informiert und Aufrufe dokumentiert, mit denen relevante Informationen gefunden werden können. Sehr lesenswert ist das PDF „How to get the job done„, das beschreibt wie mit Hilfe von SIPvicious und der SIP-Telefonanlage erfolgreich in ein Netzwerk eindringt.
Ein echtes „must see“!
Eigentlich soll dieses Blog ja werbefrei bleiben. Eigentlich, weil ich natürlich auch ein wenig Werbung für meinen Arbeitgeber, die NESEC GmbH mache. <schamloses Anpreisen>Wer einen Penetrationstest qualifizierten durchgeführt haben möchte …</schamloses Anpreisen>
Jetzt gibt es rechts eine Ausnahme für den AK Vorratsdatenspeicherung:
Und das ist auch gut so.