13. Februar 2010

YouTube’s Audio Content ID System

Category: Internet — Christian @ 22:37

Ein interessanter Beitrag, wie YouTube Musik in Videofiles erkennt und mit welchen Tricks man das verwendete Verfahren aushebeln kann bzw. eben nicht.

Prinzipiell ist das verwendete Verfahren recht immun gegen Änderungen der Lautstärke, auch die gespielte Geschwindigkeit muss man um mehr als 5% verändern, bevor der Fingerprinter ein Musikstück nicht mehr erkennt. Auch gegen Rauschen ist das Verfahren recht gut. Wenn man allerdings ein kurzes Liedstück von weiter hinten anstatt vom Anfang verwendet, kommt man offensichtlich recht gut durch den Filter.

(via carta.info)

12. Februar 2010

Ultrascan KPO

Category: Hacking — Christian @ 23:24

Hat eigentlich irgendjemand nochmal was von Ultrascan KPO gehört? Das war der Laden der angeblich mit Hilfe eines manipulierten Nokia 1100, das unbedingt in Bochum gefertigt sein musste, mTANs abgefangen haben will. Seither ist aber Schweigen im Walde und die Webseite anscheinend tot?

Oder wollten die nur ihre Nokia 1100 teuer auf eBay verkaufen?

11. Februar 2010

Gedankenspiel zu SSL-VPN

Category: Hacking — Christian @ 10:05

Wir sind in einer Diskussion auf folgende Überlegung gekommen:

Ich sitze an einem Windows-PC (ohne Desktop-Firewall) in einem geschützten Netz hinter der großen Firmen-Firewall. Surfen im Internet ist erlaubt. Außerdem ist auf dem Rechner hier ein SSL-VPN Client installiert, in meinem Fall Juniper Network Connect der Juniper SSL-VPN SA-Serie. Welches Produkt von welchem Hersteller verwendet wird, ist für die Fragestellung aber egal. Das Network Connect wird normalerweise gestartet, indem man auf die Anmeldeseite des SSL-VPN-Gateways geht und sich dort anmeldet. Abhängig von der Konfiguration wird der eigentliche Network Connect Client dann automatisch gestartet. Ich habe dann ein SSL-basiertes VPN von meinem Windows-PC durch die große Firmen-Firewall hindurch zu meinem Juniper Gateway.

Die klassische Diskussion ist dann, dass ich da natürlich beliebige Daten hinaus schleusen kann, weil der Juniper Gateway z.B. Uploads erlaubt und das ja SSL-verschlüsselt ist, d.h. die Firmen-Firewall nichts mehr sieht. Geschenkt.

Die interessante Frage die sich in unserer Diskussion jetzt gestellt hat geht genau anders herum:

    Kann ein Angreifer im Internet einen bösartigen Webserver aufsetzen der automatisch diesen Network Connect startet und so einen VPN-Tunnel aufbauen, wenn der Benutzer ihn ansurft?

Das würde nämlich bedeuten, ich habe dann eine IP-basierte VPN-Verbindung von diesem Webserver im Internet durch die Firmen-Firewall hindurch zum eigentlich geschützten Client im LAN und kann diesen direkt angreifen. Eine fehlende Desktop-Firewall natürlich vorausgesetzt.

Das ist eine ähnliche Frage wie mit den diversen ActiveX-Controls die sich im Browser wiederfinden. Die können im Grunde auch von einem beliebigen Webserver gestartet werden, wenn sie „safe“ sind. Und wenn dann eine Sicherheitslücke bekannt wird, muss Microsoft wie diesen Monat wieder, Killbits für ActiveX verteilen. Oder haben die Hersteller von SSL-VPN Clients ein Verfahren implementiert mit dem der Client feststellen kann, ob er mit einem unmodifizierte Gateway des Herstellers kommuniziert?

10. Februar 2010

Die Spinnen die Norweger

Category: Offtopic — Christian @ 11:36

Wir haben uns ja daran gewöhnt, dass Norweger ab und an etwas seltsam sind. Beispielsweise wenn die Bergen Linux User Group den RFC 1149 (IP over Avian Carrier) implementiert.

Aber Norweger, die ein Google Streeview Auto in Taucheranzügen mit Harpunen angreifen ist dann doch neu. Und lustig 🙂

(via BT)

9. Februar 2010

Paypal in Indien … wolle Rose nich bezahle!

Category: Produkte,Recht — Christian @ 22:45

Paypal zahlt in Indien kein Geld mehr aus. Nicht etwa nur bei einzelnen Accounts sondern bei allen!

Begründung: „to respond to enquiries from the Indian regulators“. Meine Interpretation auf Deutsch: Paypal hat gegen diverse indische Gesetze verstoßen und die Inder haben den Laden erstmal zugemacht.

Wie lange das dauert: „Personal payments to and from India will be suspended for at least a few months until we fully resolve the questions from the Indian regulators“. Auf Deutsch: Wir wissen nicht, ob wir die  Geschäftstätigkeit in Indien überhaupt wieder aufnehmen dürfen.

Klingt sehr vertrauenswürdig. Aber in Deutschland will Ebay die Händler zwingen, dieses Paypal zu verwenden. Ein wenig mehr im Paypal-Blog hier und hier. Und viel mehr hier.

Der seltsame Samba Zero-Day Exploit

Category: Hacking,Produkte — Christian @ 22:28

Ab und zu gibt es so Geschichten die irgendwie schwer einzuordnen sind. Beispielsweise die seltsame Geschichte des Samba Zero-Day Exploits. Ich rekapituliere mal kurz die Ereignisse:

Fr, 05.02.: Kingcope veröffentlicht einen Exploit mit dem sich via Symlink Beschränkungen auf Samba-Freigaben aufheben lassen. Dazu hat er einen Sambaclient modifiziert um diese Symlinks anlegen zu können.

    „A remote attacker can read, list and retrieve nearly all files on the System remotely.
    Required is a valid samba account for a share which is writeable OR a writeable share which is configured to be a guest account share, in this case this is a preauth exploit.“

Die Samba-Entwickler sind relativ schnell mit einem Advisory zur Hand, das dieses Problem erklärt.

Mo, 08.02.: Paul Szabo weist den Fehler zurück es handle sich um eine Fehlkonfiguration wenn diese Symlinks vom Sambadienst berücksichtigt werden.

    „Nothing breaks if the admin sets „wide links = no“ for that share: the link is not followed.“

Und dann driftet die Diskussion in das Verhalten von SMB auf Windows 2008 ab:

    „Since Windows 2000 NTFS supports „junctions“, which pretty much resemble Unix symlinks, but only for directories. And at least since Vista, it also supports symlinks, which are designed to mimic Unix symlinks, and can point to files or directories. Junctions and symlinks can cross volumes; symlinks can also refer to files or directories on network filesystems.“

Ende der Diskussion. Was praktisch nicht zur Sprache kommt ist, ob z.B. die Defaultkonfiguration von Samba einfach schlecht ist und nicht das erwartet, was der typische Administrator erwartet. Zumindest kann man nicht von „Safe Defaults“ sprechen. Aber wenigstens soll die Standardeinstellung in der nächsten Version behoben werden:

    „All future versions of Samba will have the parameter „wide links“ set to „no“ by default, and the manual pages will be updated to explain this issue.“

Und daraus kann man eine recht einfache Lehre ziehen. Wenn ein Programm in einer Konfiguration Defaulteinstellungen vornimmt, müssen diese der Erwartungshaltung der Administratoren entsprechen. Alles andere ist genauso ein Sicherheitsrisiko wie wenn es sich bei diesem Fehler um einen echten Zero-Day Exploit gehandelt hätte. Erstaunlich ist meiner Ansicht nach, dass es immer noch so viele Programme gibt, die sich nicht an diese Regel halten.

8. Februar 2010

Stuttmann Archiv

Category: Offtopic — Christian @ 10:26

Ich habe nach langer Zeit mal wieder bei Klaus Stuttmann im Karikaturenarchiv geblättert:

    Der liebe Gott weiß immer, was du machst und wo du gerade bist!“ „Auch wenn ich alle meine Internet-Daten verschlüssel und und mein Handy immer ausschalte?“

und

    Warum Frau Zypries bald auch Bäume und Büsche in öffentlichen Parks, Friedhöfen und Freibädern flächendeckend verwanzen muss …“

wie wahr.

7. Februar 2010

Eine E-Mail? 20 Cent!

Category: Internet,Politik — Christian @ 23:01

Angeblich will die Post 20 Cent für jede innerhalb von DE-Mail zugestellte E-Mail.

Es gibt nur noch eine Möglichkeit, wie das kein Flop wird: wenn der Staat diese Form des Mailens verbindlich für Kontakte zum Finanzamt, Arbeitsamt etc. vorschreibt. Ansonsten ist das wie die ePost, die hat auch keine 5 Jahre überlebt.

(via Heise)

Security Kalender 2010

Category: Allgemein,Work — Christian @ 19:54

Mein Security Kalender 2010 ist mit leichter Verspätung online aber im Januar war eh nicht viel zu erwarten. Falls ich Termine vergessen oder nicht im Netz gefunden habe, bitte entweder hier in die Kommentare oder mir per Mail schicken. Ich nehme die gerne mit auf.

6. Februar 2010

Erderwärmung? Streusalzmangel!

Category: Offtopic — Christian @ 23:59

Hier im Real-Komma-Strich gesehen:

Jodstreusalz

Jodstreusalz. Wird Zeit für die Erderwärmung.