jtb.blog

Eine komische Situation - umgeben von Linux, *BSD, Apple und was es sonst noch so gibt und ich boote mein Windows XP..
Das ganze hat natürlich gute Gründe: der Download für Longhorn Beta 1 wurde für Betatester (wie mich) freigegeben
Gerade läuft das Setup im Virtual PC.. Muss jetzt nur noch die Lizenzbestimmungen lesen, aber falls alles klappt, werde ich wohl die IP meines Virtual PCs mal veröffentlichen

Die ersten Bild von der WTH (nicht von Longhorn! ) habe ich auf meinen Server hochgeladen: WTH-Gallery
Jetzt muss ich mich nur noch auf die Suche nach den ganzen Aufzeichnungen des ersten Tages machen - es war einfach zu heiß um sich aus den Schatten wegzubewegen und sich in die nicht allzu gut belüfteten Zelte zu setzen.
Den einzigen Vortrag, den ich mir angehört habe, war ein bißchen enttäuschend - zu wenig neues zum Thema XSS (cross-site-scripting).. Allerdings scheint das Tool xsss von Sven Neuhaus mal ausprobierenswert.

Das Dect-Netz von Eventphone erwies sich als sehr nützlich - mein Handy habe ich garnicht mehr dabei, sondern nur noch das Dect-Gerät für 30€.

Interessant ist es endlich mal die "Gegner" bei Cipher und den anderen CTFs offline zu treffen - Zeit für längere Gespräche über die CTFs fand sich aber leider noch nicht


btw: auf What the planet findet sich eine Zusammenstellung aller Blogs die über What the Hack berichten..

Nach ca 390km und ein paar Stunden sind wir auf der WTH angekommen

Der Mini-Gasgrill für 50€ macht sich gut, nur hat Sven zu wenig Fleisch mitgenommen - also morgen erstmal einkaufen

Das Wetter ist leider nicht so besonders - wird Zeit das jemand den niederländischen Wetterdienst hackt und für gutes Wetter sorgt

Gleich geht die Fahrt los in Richtung Holland zur WTH

Jetzt muss ich nur noch hoffen, dass alles bei Sven ins Auto passt

Geile Vortragsfolien zum Thema Apache-Config: "Why I Hate the Apache Web Server" - verdammt, warum war ich nicht auf der ApacheCon?

Der C.I.P.H.E.R-Wettbewerb ging eben zu Ende.. Die TUD stellte drei Teams - das Team von hamster, mc.fly, Radical Edward, SEN und mir war das beste TUD-Team und schaffte es auf Platz 4

Presseerklärung vom ITO:

Beim universitären Anti-Hacker-Wettbewerb Cipher kämpften 14 Teams aus sieben Ländern und 4 Kontinenten gegeneinander.
Dabei mussten die Informatikstudenten einen ihnen vorher unbekannten Internetserver sechs Stunden lang gegen Angriffe der gegnerischen Teams verteidigen und gleichzeitig selbst Angriffe auf die anderen Teams durchführen.

Die TU Darmstadt stellte mit drei Teams die größte Teilnehmerzahl.
Mit dem Plätzen 4, 6 und 7 schafften es alle Darmstädter Teams in der vorderen Hälfte des Feldes zu landen.
Klarer Sieger des Wettbewerbs war das Team der Universität Mailand, gefolgt von Köln.
Die Teams aus Aachen, Bochum und Darmstadt lieferten sich einen spannenden Dreikampf um den dritten Platz, den Aachen erst in den letzten Minuten des Wettbewerbs für sich entscheiden konnte.

Das nächste Hacking-CTF findet dann im September in Darmstadt statt (Infos folgen demnächst auf Mrmcd11b) - sogar mit der Möglichkeit der lokalen Teilnahme!

Endlich gibt es einen zweiten Teil von Sicherheit durch Zertifikate

Jeder kennt diese typischen Zertifikatswarnungen ”Web Site Certified by an Unknown Authority” - “unable to verify the identity of signup.wow-europe.com as a trusted site” (wie damals beim Start von World of Warcraft).
Nun mag man meinen, dass Leute an der Uni vielleicht ein bißchen mehr von Sicherheit verstehen... Leider falsch gedacht, wie folgendes bei uns am FB20 zeigt: das Webreg-System, über das sich Studenten für Übungen, Klausuren usw anmelden können, ist per SSL abgesichert. Geht man nun auf die URL http://www.informatik.tu-darmstadt.de/webreg wird man automatisch auf https://server2.nu.tu-darmstadt.de/webreg/index.php weitergeleitet.. Dumm nur, dass das Zertifikat mit 130.83.160.66 als Common Name ausgestellt wurde und somit eine Warnung erzeugt (mal abgesehen davon, dass man die RBG CA als trusted CA eingerichtet haben muss).. Das Schlimme ist jetzt, dass Semester für Semester etliche Studenten (und eventl. auch Veranstalter?) diese Warnung einfach ignorieren


UPDATE: nach einer Mail an die RBG wurde es endlich geändert - es hat sich scheinbar seit einigen Monaten keiner beschwert...

Endlich habe ich mal Zeit gefunden mein Creative Zen Micro unter Linux zum Laufen zu bekommen.
Das eigentliche Rüberspielen funktioniert über Gnomad2 (im Gentoo-Portage verfügbar). Damit das funktioniert muss Hotplug vorher ein paar Sachen machen - komischerweise war das Zen Micro nicht in der Usermap aufgeführt, so dass dies von Hand eingetragen werden musste:


Die Vendor- und Product-ID bekam man leicht über lsusb raus..
Jetzt nur noch Gnomad2 starten und schon kann man seine MP3s oder auch Datenfiles rüberkopieren.

Anmerkung: Gnomad2 funktioniert nicht mit der PlaysForSure-Firmware. Ich verwende deswegen z.Z. die Firmware-Version 1.11.1. Weiterhin habe ich die Version 2.8.0 von Gnomad2 installiert.

Aus dem Heise-Forum zu einem WTH-Artikel:

Naja es wird wohl nach Distri und OS getrennte Duschen geben:

Gentoo: Dusche liegt als Bausatz bereit

OpenBSD: Undurchsichtige Panzerglaskabine

Debian: Das Wasser wird immer laufen. Aber für warmes Wasser muss man
selbst einen Durchlauferhitzer installieren, da Durchlauferhitzer
Teufelswerk sind.

Hurd: Ein Eimer Wasser, eine Anleitung und das Versprechen, dass
nächstes Jahr die Dusche fertig sein wird.

Windows: Wasser läuft erst, nachdem man MS telefonisch die Penislänge
mitgeteilt hat.

DSL/Fli4l: Superzooker (oder wie die heissen

Knoppix: Tragbare Dusche für Leute die normalerweise in der MS-Dusche
sind.

BSD 4.X: Gießkanne mit Seilzug

Solaris: Gieskanne mit elektrischem Seilzug

CDE : Gieskanne mit elektrischem Seilzug und Flüssigseifenkanone

RiscOS : Löschflugzeug kommt auf Anfrage

MacOSX : Wunderschöne Dusche mit Bewegungsmelder und Fahrstuhlmusik,
aus der aber Wasser mit Psychoaktiven Drogen kommt

Die Jungs vom Bereich Telekooperation bei uns an der TUD haben ihre Kaffee-Maschine leicht aufgepimpt - jetzt hat sie ein Bluetooth-Interface

Die Umbauten sind in deren Wiki zu finden: Pimp my Saeco

Argh, direkt aus den Abendnachrichten: "Achten Sie einfach auf das s hinter http - dann ist man vor Phishing sicher".. oder "Achten Sie auf die Grammatik in der Mail"...
Bloß weil die meisten Phishing-Attacken sau blöd sind (aber trotzdem noch mehr als genug drauf reinfallen) helfen solche "Tipps". Die nächste Phishing-Welle wird mit Sicherheit kommen - mit guter Grammatik und wenn sich die Phisher mühe geben sogar https...

Ich freue mich schon auf die ersten besorgten Anrufe bei der Bank wenn die nächste TAN-Liste mit Aufforderung zur Aktivierung eintrifft: "Aber in den Nachrichten wurde gesagt, man darf auf Anweisung der Bank keine TAN eingeben"

Wobei wir bei einer neuen Art Phishing-Attacke wären: man schickt eine EMail an die vermeintlichen Online-Bankingbenutzer mit einer angehängten TAN-Liste + URL für die Aktivierung..


Man sagt zwar, man kann keine sozialen Probleme mit Technik lösen, aber HBCI mit Chipkarte und Lesegerät würde hier viel helfen - aber die Banken wollen es ja nicht subventionieren und der Kunde will für Sicherheit nichts zahlen..

btw: ich habe seit ein paar Jahren einen HBCI-Leser der Klasse 2 (also mit Pinpad) - da haben Phisher ohne wesentlich größeren Aufwand keine Chance! Die Bank wollte allerdings nichts dazuzahlen und meine lokale Filiale hatte damals scheinbar Schwierigkeiten mit meiner HBCI-Anfrage

So, endlich ist die Homepage der mrmcd11b - der dritten metarheinmain-chaosdays (in binärer Schreibweise 11b) - fertig
Jedenfalls im Bezug auf erste Infos und Call for Paper

Anmeldung usw folgt bald - stay tuned..

Gerade habe ich mal wieder in der Praxis gemerkt welche Vorteile meine Lieblingsdistro Gentoo hat. Auf meinem Server fahre ich (noch) Debian.
Da ich UTF8 in Webanwendungen mit PHP einsetzen wollte, musste ich auch den MySQL-Server updaten. Ein Sprung von Version 4.0 auf 4.1 - eigentlich kaum ein Problem.
Nach dem Updates von MySQL wollte ich mein PHP neu bauen (ja, ich baue mein PHP von Hand trotz fertiger Packete). Nur mit dem neu gebauten PHP wollte eine MySQL-Verbindung nicht mehr so recht klappen:

[notice] child pid 5583 exit signal Segmentation fault (11)

Nach der Analyse stand fest, dass PHP zwar gegen die neue MySQL-Clientversion gebaut war, allerdings ein anderes Apache-Modul noch gegen die alte. Da pro Prozess nur eine Clientversion geladen werden kann, kam es so zu den o.g. Problemen..

Lösung: PHP explizit gegen die alte Version bauen (also die dev-Packete für 4.1 runterwerfen und die von 4.0 wieder installieren)...

Das ganze geht jetzt noch, da PHP4 noch gegen die alte Version perfekt läuft. Will man nun PHP5 mit mysqli einsetzen, steht man vor argen Problemen.. Wahrscheinlich gibt es gute Gründe, dass PHP5 noch nicht mal in Unstable bei Debian ist.

So langsam melden sich immer mehr Teams für den Aachener Hacking CTF an

Damit haben wir als erstes Team der TUD Gegner aus folgenden Unis: University of Nebraska at Omaha - USA, Jawaharlal Nehru Technological University - India, Brno - Czech republic, London, Ontario - Canada & University of Jos - Nigeria sowie die anderen beiden Teams unserer Uni.
Also reichlich Gegner zum Plattmachen

Auf der WTH wird es, wie schon angekündigt, eine DECT-Anlage für alle Teilnehmer von Eventphone geben - das ist ja schon für Besucher solcher Veranstaltungen normal (aber trotzdem ein geiler Service).
Aber jetzt das besondere: es wird Dect-Telefone für 15€ geben. Wer also noch ein Dect-Handset für WTH braucht, kommt vor Ort sehr günstig dran

Update: es gibt noch ein weiteres Telefon für 23€ - mit mehr Funktionen wie z.B. Handsfree/Lautsprecher

Seit einiger Zeit habe ich ein Dell Notebook und bin damit auch sehr zufrieden, nur ab und zu will man mal auf die Dell-Homepage gehen und z.B. nach Treibern, Bios-Updates usw gucken.. Wäre eine schöne Sachen wenn das immer funktionieren würde - die Supporthomepage ist regelmäßig schlecht oder nicht zu erreichen
Es scheint so als ob Dell DNS-RR benutzt und einer der beiden Server Probleme macht..

Es ist irgendwie kein Wunder wenn sich Würmer, Viren & Trojaner unter Windows immernoch leicht verbreiten..
Man könnte meinen, dass Programmierer von Windows-Anwendungen mittlerweile daran denken ihre Programme so zu entwerfen, dass diese unter einem normalen User ohne Probleme laufen..

Zwei Beispiele:
Battlefield2 - Punkbuster benötigt Admin-Rechte. Direkt aus deren FAQ: "[..] make sure you run the game under an Administrator or equivalent account under Windows." Wenigstens läuft das Spiel ansonsten..

Juiced macht wesentlich mehr Probleme wenn man es nicht als Admin nutzt. Zum Beispiel kann man als normaler User nicht die Tastatursettings anpassen - was bei Notebookusern absolute Pflicht ist da man ansonsten das Spiel nicht spielen kann.
Aber was soll man von Programmierern erwarten, die scheinbar die Registry als Speicherort für lokalisierte Strings nutzen!?
Ich bin echt froh, dass ich kein Geld für das Spiel ausgegeben habe, sondern ein Freund von mir das Problem hat, der sich wegen der verschwendeten Euros natürlich ärgert..

Bitte liebe Spieleentwickler: sorgt dafür, dass ich ohne Admin-Rechte spielen kann.