27. Dezember 2007
Arien Vijn hat ein System mit mehreren FPGAs gebaut, das in der Lage ist, eine 10 GigE-Verbindung in Echtzeit nach bestimmten Mustern zu untersuchen und beispielsweise Datenpakete einer vorgegebenen IP-Adresse mitzuprotokollieren. Technisch ist das hochspannend, insbesondere weil er bei der hohen Datenübertragungsgeschwindigkeit auf viele kleine Probleme achten musste:
Mehrere FPGAs behandeln jeweils einen Teil des Datenverkehrs, so kümmert sich ein 32-Bit FPGA um die Source-IP, ein zweiter 32-Bit FPGA um die Destination-IP und weitere FPGAs um andere Teile des Paktes. Das klingt lässig, ist aber erstaunlich schwierig. Beispielsweise gibt es VLAN-Tags, d.h. der IP-Header befindet sich dann an einer anderen Stelle im Ethernet-Frame. Oder der Paket hat IP-Options, dann ist der TCP- bzw. UDP-Header verschoben. Von IPv6 mit variablen Headern will ich gar nicht reden.
Ein anderes Thema ist dann die Synchronisation der FPGAs. Nach seiner Aussage dauert alleine das Propagieren der Sync-Kommandos durch alle FPGAs so lange, dass es schwierig wird die Pakete noch in Echtzeit zu verarbeiten.
Und, das Gerät ist eine aktive Box weil bei der hohen Geschwindigkeit optische Taps zumindest am Anfang nicht mehr zuverlässig funktioniert haben.
Zum Glück war Schäuble nicht anwesend … obwohl, angeblich können die Force10-Kisten die DeCIX installiert hat auch schon vergleichbares.
Ja, ich habe es getan … freiwillig ein Ibis-Hotel gebucht. Aber nur aus zwei Gründen:
- Es war billig
- Es gibt auf dem Congress genügend Möglichkeiten für den Internet-Zugang
Und das Zimmer ist soweit auch ok, im 6. Stock und mit Blick zum Alexanderplatz 🙂
Jedenfalls hat sich dieses Ibis eine neue Idee ausgedacht, damit nicht jeder ins Hotel kommt: am Aufzug ist ein Kartenleser und um ein Stockwerk zu drücken muss man seine Karte kurz einschieben. Offensichtlich sollen damit Hotelfremde davon abgehalten werden, einfach in irgendein Stockwerk zu fahren und Unsinn anzustellen. Im Grunde sogar eine löbliche Idee. Nur, die Umsetzung ist natürlich völlig mangelhaft.
- Wenn der erste den Aufzug mit seiner Karte entriegelt hat, können beliebig viele Tasten gedrückt werden. Man muss also nur warten bis der erste eingestiegen ist und kann dann in ein beliebig anderes Stockwerk fahren. Eine mögliche Lösung wäre jetzt, dass für jedes angewählte Stockwerk extra mit einer Karte entriegelt werden muss, aber das bietet keinen höheren Schutz. Man kann nämlich von jedem anderen Stockwerk jedes andere problemlos anwählen.
- Noch schlimmer ist, man benötigt nicht einmal einen anderen Gast. Man kann nämlich ohne Karte in das UG fahren in dem sich die Tiefgarage befindet. Macht Sinn, denn wenn man die Karte abgegeben und bezahlt hat, muss man ja noch aus der Tiefgarage ausfahren. Unten in der Tiefgarage kann man aber jedes beliebige Stockwerk anwählen. Ohne Karte fährt man also zuerst ins UG, drückt dort dann auf z.B. den 5. Stock und schon ist man wo man hin will.
In der Implementierung also völlig nutzlos und reine Gästeschikane. Aber das sind wir von Accor ja so gewohnt.
26. Dezember 2007
Nehmen wir einmal folgende Webseite:
Sieht aus wie eine Webseite des Springer-Verlags (nein, nicht der Axel-Springer Verlag mit der Bildzeitung sondern der seriöse Fachbuchverlag!) zum dazugehörigen Buch und richtet sich offensichtlich an Ärzte und Krankenhäuser.
Auf diese Seite bin ich durch folgende Google-Suche gestoßen: „inurl:inspectMBean site:de„. Gleich das zweite Suchergebnis führt zu dieser Seite, allerdings mit einer etwas anderen URL:
Und jetzt wird es spannend. Ich glaube nicht, dass diese Seite aus dem Internet heraus aufrufbar sein sollte. Da hat vermutlich jemand mit den Zugriffsrechten geschlampt. Das soll aber nicht mein Problem sein, der § 202a StGB ist da recht trocken. Und eine Zugangssicherung kann ich beim besten Willen nicht erkennen.
Also weiter im Text: Da handelt es sich offensichtlich um einen JBoss-Server und der Port 8080 wird nicht durch eine Firewall blockiert. Darüber lässt sich wunderschön in die Eingeweide des Servers schauen.
Der Tomcat-Status zeigt uns beispielsweise an, was auf dem Server so los ist. Oder man wirft einen Blick in die JMX Console. Aha, da sieht man z.B. wer so die Mails sendet und empfängt. Oder man sieht, dass eine HyperSonic Datenbank mit sa-User verwendet wird.
Da sind übrigens ganz viele lustige Felder bei denen man was eingeben kann und darunter gibt es so einen „Apply Changes“ Knopf. Ich weiß nicht, ob das so eine gute Idee ist. Vielleicht sollte man da die Finger weglassen, wenn man nicht mit dem § 303a StGB in Konflikt kommen will.
Aber unabhängig davon: Keine Firewall (es handelt sich um einen Shared Server bei einem Provider), Zugriffsrechte für das JBoss-Verzeichnis falsch gesetzt und bei Google steht der Server auch schon im Index … für mich scheint das eine schöne krasse Sicherheitslücke zu sein. Kleiner Tipp, ein Penetrationstest von uns würde solche Lücken finden. Garantiert!
Nachtrag:
Ich wollte Springer das Problem ja per Mail schicken:
RCPT To: <secure@springer.com>
550 5.1.1 unknown or illegal alias: secure@springer.com
RCPT To: <security@springer.com>
550 5.1.1 unknown or illegal alias: security@springer.com
Aber wer sich nicht an RFC 2142 hält, verdient es nicht anders.
Lustig … ich habe von Ernst & Young, genau, den Ernst & Young die ich immer wegen verlorenen Laptops bashe ein Weihnachtsgeschenk bekommen. Eine speziell für Ernst & Young angefertigte Musik-CD mit dem Titel „The Rhythm You Need To Succeed“.
Wir sind kein Ernst & Young Kunde und viel zu klein um jemals Kunde zu werden. Ernst & Young ist auch kein Kunde von uns, zumindest die USA-Niederlassung wäre bei unseren Security Audits als Mitbewerber zu sehen.
Verstehe ich nicht. Soll mir das was sagen?
25. Dezember 2007
SANS hat schon was gemacht. Hauptsächlich geht es um das Abschalten von Diensten wie Samba und SunRPC, die zu viele Informationen nach draußen verbreiten. Außerdem fehlt die IPTables Firewall.
Ich warte ja noch auf meinen …
Nur eine kurze Zusammenfassung:
- 3. November: Around 15,000 Standard Life customers could be at risk of fraud after their personal details were lost by HM Revenue & Customs (HMRC).
Die Daten enthalten u.a. Versicherungsnummern, Geburtsdaten und Pensionsansprüche und wurden von einer Regionalbehörde mit einem Kurier nach London geschickt.
- 21. November: The UK government has lost child benefit data on as many as 25 million people in its country, making it the largest loss of personal information ever reported.
Die Daten von fast allen Familien im Land sind betroffen, insgesamt etwa 40% der Gesamtbevölkerung. Die Daten befanden sich auf zwei Disks und wurden trotz 20.000 Pfund Belohnung nicht wieder aufgefunden. Besonders schlimm ist, dass die Daten auch Kontoverbindungen enthalten, eine Goldgrube für Identitätsdiebe.
- 18. Dezember: UK lost data on 3 million citizens, this time on drivers with the British equivalent of a learner’s permit.
Die Daten enthalten Namen, Adressen und andere persönliche Identifikationsmerkmale jedoch keine Bank- oder Kreditkartendaten. Die Daten befanden sich auf einer Festplatte, die von einem Vertragspartner in den USA aufbewahrt wurden. Ich vermute ja mal, die Daten wandern jetzt in die große FBI-Datenbank.
Ich will jetzt gar nicht auf unseren Freunden von Ernst & Young herum prügeln, mehr Sorgen macht mir die Sicherheit der Daten, die im Rahmen der Vorratsdatenspeicherung aufbewahrt werden. Wir reden hier von vielen tausend Einzeldatenbanken. Die werden garantiert nicht alle angemessen abgesichert. Man kann nur hoffen, dass es unsere unfähige Politikerkaste zuerst erwischt. Vielleicht kapiert Herr „Ich bin anständig“ größter Innenminister aller Zeiten (GröIaZ) Schäuble, dass ER die größte Gefahr für unsere Demokratie ist und nicht ein paar islamistische Attentäter.
Recht interessant (aber manchmal auch teuer) ist es, wenn Online-Shops in die AGB-Falle stolpern. Eben erst wieder bei einem Händler gesehen, der hauptsächlich über Ebay verkauft. Ich persönlich mag Ebay ja nicht besonders und wenn der Händler auch einen normalen Online-Shop mit günstigen Preisen hat, dann bestelle ich lieber da.
Per E-Mail kam dann die Belehrung mit dem einleitenden Satz:
„Die folgenden Allgemeinen Geschäftsbedingungen (AGB) gelten für alle über den eBay-Marktplatz zwischen <Händlername> und dem Kunden abgeschlossenen Verträge.“
Im folgenden Text stand dann eine soweit ich erkennen konnte rechtlich saubere Widerrufsbelehrung. Nur offensichtlich gilt die gar nicht für mich, ich habe nämlich gar nicht über den Ebay-Marktplatz einen Vertrag abgeschlossen. Ich vermute ja deshalb, ich bin folglich gar nicht korrekt belehrt worden. Und dann gilt der Monat für den Widerruf erst ab Zugang der Belehrung.
Sehr praktisch. Wenn die gekauften Sachen in einem Jahr günstiger sind (bzw. mehr Kapazität zum gleichen Preis haben) gebe ich das heute gekaufte einfach unter Hinweis auf die fehlende Belehrung zurück und kauf mir für das Geld was neues.
Nachtrag:
(So unfair bin ich ja gar nicht. Ich hab dem Händler per Mail einen Hinweis geschickt … mal sehen ob er das liest.)
24. Dezember 2007
lustig …
das funktioniert über die WLAN-Funktion des Telefons sogar, wenn gar keine SIM-Karte eingelegt ist. Vielleicht sollte ich bei Gelegenheit eine Mobile-Version des Blogs anlegen? 🙂
23. Dezember 2007
Ein spannendes Kryptorätsel und vermutlich ein einziger großer Fake. Telepolis hat gerade einen ganz netten Artikel dazu.
Angeblich hat Thomas Jefferson Beale den Fundort eines großen Schatzes in drei verschlüsselten Dokumenten versteckt und dem Hotelier Robert Morriss zur Aufbewahrung übergeben. Erst ein Dokument wurde entschlüsselt, die anderen beiden, die angeblich den Fundort des Schatzes verraten sind weiterhin verschlüsselt.
Die Originaltexte sind z.B. bei Wikipedia zu finden.
Neben der Beale-Chiffre gibt es eine Reihe weiterer, bisher unentschlüsselter Dokumente. Dazu gehört beispielsweise auch das Voynich-Manuskript. In diesem Zusammenhang empfehle ich auch gerne nochmal Cryptonomicon von Neal Stephenson.
22. Dezember 2007
Ich bin ab und an tatsächlich überrascht, welche netten Programme sich in meinem Windows XP verbergen. Pathping zum Beispiel:
Syntax: pathping [-g Hostliste] [-h max. Abschnitte] [-i Adresse] [-n]
[-p Zeitraum] [-q Abfrageanzahl] [-w Zeitlimit] [-P] [-R]
[-T] [-4] [-6] Zielname
Optionen:
-g Hostliste "Loose Source Route" gemäß Hostliste.
-h max. Abschnitte Max. Anzahl an Abschnitten bei Zielsuche.
-i Adresse Verwendet die angegebene Quelladresse.
-n Adressen nicht in Hostnamen auflösen.
-p Zeitraum Wartezeit in Millisekunden zwischen Pings.
-q Abfrageanzahl Anzahl der Abfragen pro Abschnitt.
-w Zeitlimit Zeitlimit in Millisekunden für eine Antwort.
-P Überprüft RSVP-Pfadkonnektivität.
-R Überprüft, ob jeder Abschnitt RSVP unterstützt.
-T Überprüft Verbindung zu jedem Abschnitt mit
Layer-2-Prioritätskennungen.
-4 Erfordert Verwendung von IPv4.
-6 Erfordert Verwendung von IPv6.
Ein anderes Kommando ist netsh, bei dem mir bis heute nicht klar ist, was man damit alles machen kann.
netsh>?
Folgende Befehle sind verfügbar:
Befehle in diesem Kontext:
.. - Wechselt zu einer Kontextebene höher.
? - Zeigt eine Liste der Befehle an.
abort - Verwirft Änderungen, die im Offlinemodus vorgenommen wurden.
add - Fügt einen Konfigurationseintrag zur Liste hinzu.
alias - Fügt einen Alias hinzu.
bridge - Wechselt zum "netsh bridge"-Kontext.
bye - Beendet das Programm.
commit - Überträgt Änderungen, die im Offlinemodus vorgenommen wurden.
delete - Löscht einen Konfigurationseintrag aus der Liste der Einträge.
diag - Wechselt zum "netsh diag"-Kontext.
dump - Zeigt ein Konfigurationsskript an.
exec - Führt eine Skriptdatei aus.
exit - Beendet das Programm.
firewall - Wechselt zum "netsh firewall"-Kontext.
help - Zeigt eine Liste der Befehle an.
interface - Wechselt zum "netsh interface"-Kontext.
offline - Setzt den aktuellen Modus auf offline.
online - Setzt den aktuellen Modus auf online.
popd - Wechselt zum durch pushd im Stapel gespeicherten Kontext.
pushd - Überträgt den aktuellen Kontext auf den Stapel.
quit - Beendet das Programm.
ras - Wechselt zum "netsh ras"-Kontext.
routing - Wechselt zum "netsh routing"-Kontext.
set - Aktualisiert Konfigurationseinstellungen.
show - Zeigt Informationen an.
unalias - Löscht einen Aliasnamen.
winsock - Wechselt zum "netsh winsock"-Kontext.
Folgende Unterkontexte sind verfügbar:
bridge diag firewall interface ras routing winsock
Gibt es eigentlich noch mehr so völlig unbekannte Tools (oder bin ich der einzige Ahnunglose hier im Tal)?