11. April 2010

Italienische Sticker Teil 4

Category: Offtopic — Christian @ 19:43

Im letzten Teil habe ich die Sticker untergebracht, die ich nicht zuordnen konnte. Oft ist da nur eine Grafik drauf, die manchmal auch recht lustig aussieht. Wie immer weiter nach dem Klick.

Vielleicht sollte ich für das Blog hier auch Sticker drucken lassen 😉

(more…)

Italienische Sticker Teil 3

Category: Offtopic — Christian @ 19:13

Kommen wir zu reinen Werbestickern. Interessant finde ich, dass mehrere Modeunternehmen dabei sind, aber auch Kneipen und Bands und viele Sticker nur eine Grafik und einen Link auf eine Webseite enthalten. Ich warte ja darauf, dass die ersten Sticker mit 2D-Barcode ausgestattet werden, damit man sich die URL nicht mehr merken muss.

(more…)

10. April 2010

Italienische Sticker Teil 2

Category: Offtopic — Christian @ 19:13

In dieser Bildergalerie finden sich die ganzen Sticker wieder, die ich unter die Kategorie Politik einordnen würde. In den Folgebeiträgen kommen dann noch Werbung und Sonstige. Es gibt sehr viele Bilder und die meisten wird das nicht interessieren. Deshalb weiter nach dem Klick.

(more…)

Italienische Sticker Teil 1

Category: Offtopic — Christian @ 18:52

Ich war ein paar Tage in Italien unterwegs und hatte mal wieder Zeit einige Sticker zu fotografieren. Ich halte diese Sticker generell ja für eine interessante Subkultur. Jetzt ist mein Italienisch nicht besonders gut, bei einigen Stickern kann ich nichtmal einordnen, ob das Werbung oder Politik ist. Und einige, in einem späteren Beitrag sind so abstrus, die habe ich unter Kunst einsortiert.

florenz-00

Viele Schilder sehen in Norditalien wirklich so aus, da findet man einige interessante Exemplare. Weil dieser und die Folgebeiträge viele Bilder laden, warne ich vorsorglich schon mal. Ach ja, und falls sich jemand ernsthaft mit dem Thema beschäftigt bekommt derjenige gerne die Originalfotos aller Sticker für was-auch-immer zur Verfügung gestellt.

(more…)

9. April 2010

The Memory Hole

Category: Literatur — Christian @ 18:29

Nur ein Link, damit ich den wiederfinde.

Stichwörter dazu: NSA, CIA, NRO, DOJ

7. April 2010

Die fürsorgliche Datenkrake

Category: Politik,Recht — Christian @ 12:44

Die Süddeutsche Zeitung hat einen schönen Artikel über das Profiling, das Google bei den eigenen Mitarbeitern durchführt. Ich empfehle, den zu lesen. Google mag sicher extrem sein, viele andere große Unternehmen setzen in Teilbereichen aber ähnliche Verfahren sein. Das ist einer der Gründe, warum ich mich von großen Konzernen bisher weitgehend ferngehalten habe. Sehr schön ist der letzte Satz:

    „Fürsorglicher kann ein Unternehmen zu seinen Mitarbeitern kaum sein.“

Wie wahr. Und welch feine Ironie 🙂

6. April 2010

Bundesregierung rechnete mit 2% Deppen

Category: Datenschutz,Offtopic,Politik,Produkte — Christian @ 12:03

Satire

Die Bundesregierung zieht laut Heise ein positives Fazit des De-Mail-Test in Friedrichshafen. Insgesamt 812 Einwohner der Testregion haben sich für eine völlig nutzlose und teure De-Mail-Adresse registriert und dafür vermutlich sogar Geld ausgegeben. Das alles nur um später ihren Kindern und Enkelkindern erzählen zu können: „Ja, wir waren dabei!“. Diese 812 Einwohner entsprechen 2,75% der mögliche Nutzer der Testregion. Das sind deutlich mehr als die 2% sich anmeldenden Deppen mit den die Bundesregierung gerechnet hat aber immer noch weniger als die Hartz4-Quote der Region.

Auch andere Gruppen und Organisationen ziehen ein positives Fazit. Gieter Horny, der Chef des Bundesverbands irgendeiner Industrie erklärte, dass De-Mail seinen Unternehmen endlich eine Möglichkeit gibt, unschuldige Internetnutzer kostengünstig abzumahnen und so die Gewinne der Abmahnanwälte zu steigern. Allen 812 Testnutzern würde in den nächsten Tagen eine solche  Abmahnung zugehen. Ähnliche Kommentare waren von  diversen Betreibern von Abzockseiten zu erfahren.

Kritische Töne waren lediglich von Datenschützern und der Deutschen Post zu erhalten. Datenschützer kritisieren, dass die Abhörschnittstelle des De-Mail-Dienstes noch nicht standardisiert sei und außerdem eine gesetzliche Regelung fehle, welcher der vielen Interessenten (LKAs, BKA, MAD, BND, Verfassungsschutz, NSA,CIA, Mossad, etc.) Zugriff auf welche Daten erhalten solle. So könne beispielsweise das Bayrische LKA bereits in De-Mail Postfächern virtuell Streife gehen und nach illegal verschickten Zensursula-Schablonen suchen während das Hamburger LKA noch auf die virtuellen Streifenwagen warte. Die Deutsche Post wiederum kritisierte, dass De-Mail im Gegensatz zu ihrem Briefdienst keine flächendeckende Versorgung der Bürger sicherstellen könne, da beispielsweise in der ehemaligen Ostzone keine schnellen Internetverbindungen existieren. Der mit überhöhter Geschwindigkeit durch die Ortschaften rasende und regelmäßig falsch parkende Postbote sei hier wesentlich zuverlässiger. Außerdem wären den Bürgern die Risiken der rasenden Postdienstleister durch die vielen Unfälle inzwischen vertraut.

Die Bundesregierung erklärte, sie könne die Kritik mangels Fachkenntnis nicht nachvollziehen, werde aber gegebenenfalls geeignete Stoppschilder aufstellen. Außerdem sei geplant, die Bevölkerung weiter zu verblöden um 4% Teilnahmequote zu erreichen.

5. April 2010

Kabel für Mädchen

Category: Offtopic — Christian @ 17:58

Bei Cables Unlimited gibt es endlich, worauf die Welt gewartet hat: KaBLING – rosa Kabel mit Glitzersteinen:

Rosa Kabel 1

Nicht nur als Netzwerkkabel, USB, Stromkabel etc, ist auch lieferbar:

Rosa Kabel 2

Jetzt kann es nicht mehr lange dauern, dann gibt es die auch in Prinzessin Lilifee Ausführung. Und eine „Bob der Baumeister Kabelmeister“ Ausführung für Jungen.

4. April 2010

EH2010: A Beginner’s Guide to Social Engineering

Category: CCC — Christian @ 21:43

Menschen tun Dinge die sie eigentlich nicht tun würden, z.B. Preisgabe von Informationen. Oder ein Blog schreiben. Stimmt. Ich frage mich gerade, wer mich da hinsocialengineert hat. Egal. Die bösen Griechen haben das schon bei den Trojanern erfolgreich angewandt und später wieder bei der Währungsunion (Euro!). Das moderne Social Engineering geht auf Kevin Mitnick zurück, der es in dieser Disziplin zur Meisterschaft gebracht hat.

Ich schreibe jetzt nur mal die Stichwörter aus dem Vortrag auf.

Algorithmen / Vorgehensweise

1. Zielortung

  • Welche Information soll gewonnen werden?
  • Wer hat diese Information oder wer kann sie besorgen?
  • Wie erreicht man den Informationsträger?

2. Kommunikationskanäle

  • E-Mail (Spam), Internet, IM, Social Network
  • Fax, Post, Telefon (old school)
  • von Angesicht zu Angesicht (face to face)

3. Wichtigstes Hilfsmittel

  • Vertrauen
    • Erwecken
    • Abschätzen
      • Reaktion auf kritische/persönliche Fragen auswerten

4. Informationsacquise

  • Informationen um den Zielinformationsträger
    • Webseite, Internet, Zeitung, Werbung, …
    • Anruf (unter einem Vorwand)
    • vor Ort … oder in der Bar

5. Pretexting

  • Pretext = Vorwand/Scheingrund
  • Wie Schauspieler in eine Rolle schlüpfen
  • Mehr als Lüge
  • Sollte gut vorbereitet werden
    • Plausibilität
    • Authentizität
  • Üben/durchspielen
  • Mögliche Reaktionen und Gegenreaktionen überlegen
  • Hilfsmittel möglich
    • Zettel bei Telefonaten vorbereiten
    • Aufnahmen zur Analyse
  • Inkrementell anwenden
    • mit neuer Story
    • an anderer Stelle
  • Bis Zielinformation erreicht

Große Unternehmen lassen sich leichter angreifen als kleine, weil es einfach mehr Stellen gibt, von denen jeweils Teilinformationen gewonnen werden können.

6. Authentizität

  • Referenzen
  • Wissen sieht aus wie Authentizität
  • Jargon/Sprache adaptieren
  • Accessories
    • z.B. Visitenkarten, Prospekte, Rechnungen
    • Erscheinungsbild, Arbeitskleidung, Uniform
    • Klischees erfüllen 🙂

7. Elicitation

  • Elicit = entlocken, ablisten
  • Lernen, Gespräche zu steuern
    • Offene vs. geschlossene Fragen
    • Neutrale vs. leitende Fragen
    • Fragen mit Annahme
  • Gesprächstechnik Spiegel

8. Vorteile ausnutzen

  • Menschen sind
    • gierig
    • zutraulich/leichtgläubbig
    • faul
    • in Hierarchien organisiert
    • fast immer in Social Networks
    • hilfsbereit und hilfebedürftig
  • Menschen machen unter zeitlichem Druck leichter Fehler
  • Sympathie bringt Vertrauen
    • Lächeln, Augenkontakt
    • Lob/Wichtigkeit aussprechen bringt Sympathie
    • Ähnlichkeit
  • Das Gegenüber ist meistens Nicht-Nerd
    • Keine Ahnung von und kein Vertrauen in Technik
    • Nicht so paranoid
  • Auswirkungen auf das andere Geschlecht

9. Reverse Social Engineering

  • Das Opfer kommt auf den SE zurück
    • erst Hilfemöglichkeit anbieten
    • dann etwas kaputt machen
    • dann warten, bis die Hilfe in Anspruch genommen wird

10. Hausbesuch

  • Der Bote, Installateur, … kommt
  • Selbsteinladung unter Vorwand
  • Tail Gating (einfach mitgehen) in großen, von Firmen geteilten Komplexen
  • Wenn man im Gebäude ist:
    • Lockpicking
    • Hardwarekeylogger
    • Shoulder Surfing
    • Medien klauen
    • Kamera, Funkmikro

11. Spuren Verwischen

  • VoIP-Rufnummern verwenden
  • Caller-ID faken
  • Informationen gezielt verwenden

Gegenmaßnahmen

  • Klassifizierung welche Informationen sind kritisch
  • Policy für den Umgang mit allen Informationen
  • Verantwortliche Person für Informationsaustausch bestimmen
  • Daten vermeiden
  • Know your Enemy
    • Alle Personen mit einbeziehen
  • Know your Friends
    • Rückfragen bei authentifizierten Personen
    • Authentifikationsmethoden einführen
  • Inverse Social Engineering
    • Angreifen des Social Engineer

Link: http://www.social-engineer.org/

EH2010: Reverse Engineering von Microchips

Category: CCC — Christian @ 20:05

Microchips können entweder über Kontakte oder über Funk (RFID) mit Strom versorgt werden, prinzipiell ist das für das Reverse Engineering jedoch egal. RFID-Chips sind meist einfacher, weil sie auf wenig Stromverbrauch optimiert sind. Interessant ist das Reverse Engineering beispielsweise um sogenannte Fuses (Schalter) umlegen zu können, mit denen Speicherbereiche Read-Only abgesichert sind. Ein weiterer Anwendungsbereich ist das Abhören interner Busse und schließlich das Reverse Engineering proprierärer Kryptoalgorithmen. Unter anderem war Starbug am Dekodieren von Mifare Classic (Crypto1), Legic Prime und DECT (DSC) beteiligt. Interessant ist das Verfahren auch bei Hardware Security Modulen (z.B. in Geldautomaten im Einsatz).

Vorgehensweise in Kurzfassung:

  • Extrahieren des Chips aus dem Kartenkörper -> Azeton (löst das Polycarbonat)
  • Entkapseln des Chips aus Epoxidharz -> Rauchende Salpetersäure (Vorsicht!)
  • Alternativ kann Kolophonium verwendet werden, das beschädigt jedoch den Chip

Schichtweises Abtragen des Chips:

  • Ätzen mit Flusssäure (für Transistorlayer)
  • Plasmaätzen, Focused Ion Beam (FIB) (geringe Abtragsrate)
  • Polieren (manuell, automatisch)

Ein Problem beim Polieren ist eine Verkippung des Chips, wenn man Ebenen also schief abschleift. Man kann den Chip jedoch auch eingießen (benötigt sehr plane Oberfläche).

Die meisten Chips haben mehrere Ebenen, z.B. der Mifare Classic eine Cover Layer (zum Schutz des Chips), dann drei Interconnection Layer (die Verdrahtung) und dann kommt die Logic Layer und die Transistor Layer. Anhand der Transistoren und der Verbindungen in der Logic Layer lassen sich die Funktionen des Chips erkennen. Auf Siliconzoo.org findet man Beispiele dieser Bilder. Die Bilder selbst lassen sich für ältere Chips noch mit guten optischen Mikroskopen erstellen. Bei aktuellen Chips ist die Strukturbreite so gering (kleiner 150 nm), dass man entweder ein Rasterelektronenmikroskop oder einen Focused Ion Beam zur Aufnahme.

Also für meinen Hausgebrauch ist das alles eher nichts. Aber schon cool.