jtb.blog

Auf dem 26c3 war ein Thema besonders vertreten: GSM. Nicht nur, dass ein GSM-Netz mit fünf Frequenzbereichen aufgebaut wurde - es gab einige Vorträge wie die diversen Layer (das eigentliche Netzwerk aber auch die einzelnen Geräte) angreifbar sind.
Als Zeitvertreib vor dem Vortrag "Using OpenBSC for fuzzing of GSM handsets" wurde per Beamer wohl die Konsole vom Congress-GSM gezeigt - inkl. allen SMS die gerade übertragen wurden.. Ich kann Laforge hier nur zustimmen: TCP/IP ist aus Sicherheitssicht eher langweilig. Zeit sich anderen Protokollen (neu will ich die garnicht nennen) zu widmen. Mit OpenBSC wurde die dafür notwendige Infrastruktur geschaffen.
Aber auch auf anderen Schichten wackelt die GSM-Sicherheit. Dank Rainbow-Tables kann wohl demnächst jeder Handys abhören. Durch das IT-Sicherheitsforschungszentrum CASED in Zusammenarbeit mit unserem Fachbereich habe ich schon vor ein paar Wochen eine Hardwarebox für einen transparenten Man-In-The-Middle Angriff gesehen - leider aber (noch) nicht im echten Betrieb.
Ich glaube es wird Zeit, dass unsere Fachschaft ihren Server mit neuen, großen HDDs bestückt und einen Mirror für die diversen Rainbow-Tables stellt.

Leider habe ich erneut die Tesla-Spule verpasst. Allerdings hat ein Komilitone ein kleines Video gemacht: eine Tesla-Spule spielt die Ghostbusters-Melodie

Mit gespaltenen Gefühlen bin ich aus der Wikipedia-Diskussion über das Relevanzthema rausgegangen. Zuerst einmal habe ich mich gewundert, dass der Saal1 nicht wirklich voll war. Haben schon so viele aufgegeben? Sehr positiv war immerhin, dass jemand aus dem Wikipedia-Umfeld anwesend war. Auch auf die Frage ob Admins anwesend sind, meldeten sich einige aus dem Publikum. Gestört habe ich mich daran, dass wohl mindestens ein Anwesender sich über die Bezeichnung als Publikum aufgeregt hat. Das ganze nicht in einem netten Ton sondern als eher erzürnten Zwischenruf. Ich glaube das als herablassende Äußerung zu deuten geht zu weit. Die eigentliche Arbeit beginnt jetzt - leider haben sich nur knapp ein Dutzend Anwesende bereit erklärt die technische Weiterentwicklung zu unterstützen...

Der Rückflug war leider nicht so erfreulich wie der Anflug. Schon auf der AirBerlin-Homepage konnte ich eine Verspätung von 80min nachlesen - aber weder auf den Seiten vom Berliner oder Frankfurter Flughafen. Auch vor Ort konnte man uns am Check-In Schalter nichts sagen - das Personal wusste noch nicht mal von einer Verspätung. Später am Gate hörte man erst die Gespräche der Mitarbeiter und dann kam die Durchsage, dass sich der Abflug von 20:10 auf 21:30 verspäten würde. Wenigstens hatte ich so ein wenig Zeit um die letzten Tage zusammenzufassen. Dennoch haben wir mit Anreise zum Flughafen, Sicherheitskontrollen und Wartezeit im Vergleich zur Bahnverbindung weniger Zeit gebraucht. Leider habe ich durch die frühe Abreise den letzten Vortrag verpasst und habe somit keine lustigen Zahlen wie verbratener Traffic, maximale Bandbreite etc. parat. Nur eine kleine Zahl von mir: 2180 geschossene Fotos von denen ich fast 400 online gestellt habe.


Mein Gesamtfazit ist trotz der Überfüllung des Congresses positiv. Die Exkursion hat unseren Studierenden die Möglichkeit gegeben sich abseits der IT-Sicherheitsvorlesungen an der Hochschule mit aktuellen Themen auseinanderzusetzen. Gerade im Bereich x509-Zertifikate wurden gerade die Grundlagen in einer Master-Vorlesung geschaffen um den Aufbau eines solchen Zertifikats zu verstehen. Die Angriffe auf x509 waren somit ideal aufbauend für die Besucher der Lehrveranstaltung. Im Bereich Informatik und Gesellschaft, der zwar in einem Seminar abgehandelt wird, bietet der Congress eine weitaus umfassendere Beschäftigung mit dem Thema. Sei es nun die schon erwähnte Löschdiskussion bei Wikipedia oder die anderen kulturellen Talks und Vorträge. Leider gab es auch Vorträge die nicht die hohe Congress-Qualität halten konnten. Für eine langweilige Presentation gehe ich an eine Uni!
Technisch hat mich das WLAN enttäuscht. Natürlich ist es keine leichte Aufgabe etliche Clients zu handeln, aber das Netz könnte besser sein. Der DHCP ist regelmäßig nicht erreichbar gewesen, IPv6 ging ab und zu (Rogue Routers ärgerten immer wieder) - besonders ärgerlich weil viele Dienste von mir per IPv6 erreichbar sind

Aber einen Wunsch für das nächste Jahr habe ich: eine neue, größere Location!

Wie der geneigte Blogleser schon mitbekommen hat, mache ich einige Fotos vom Congress. Einen kleinen Teil lade ich dann auch hoch. Interessant werden dann die Diskussionen falls sich jemand versucht einzumischen. Die erste Frage gestern war: "Für wen machst du die Fotos?" - "Privat" und ohne sonstige kommerziellen Interessen. Gleich danach: "Aber du stellst die doch nicht online?" - "Doch, aber du bist doch garnicht drauf".

Im Endeffekt lief es dann darauf hinaus, dass ich doch die Abgelichteten alle fragen soll. Das Argument, dass ich nur Referenten und Freiwillige auf der Bühne fotografiere, kam irgendwie nicht rüber.. Absichtlich findet man keine von mir hochgeladenen Bilder mit eindeutig erkennbaren Personen aus dem Publikum oder andere Besucher des Congresses.
Bei einem solchen Event mit Aufzeichnung auf FullHD Kameras, Übertragung in andere Räume (teilweise mit Übersetzung), weltweitem Stream und Speicherung, eher schon Archivierung, des Videos ist jedem auf der Bühne klar, dass er als relative Person der Zeitgeschichte angesehen wird. Natürlich hat jeder Referent die Möglichkeit der Videoaufzeichnung zu widersprechen, aber gerade für das Hacker Jeopardy wurde extra eine dritte Kamera auf der Bühne installiert...

Ich weiß, dass das Thema mit den Fotos immer ein heikler Punkt ist, aber man kann es auch übertreiben.

Auch am zweiten Tag gab es zwei Vorträge die mir besonders gefallen haben. Zuerst einmal Erdgeist und Fefe mit ihrem "Vier Fäuste für ein Halleluja". Wer sich schon immer mal über APIs geärgert hat, wird diesen Vortrag mögen. Zwar ist es reines Bashing und keine produktiven Vorschläge (außer mal vorher nachdenken) - aber ein wenig Entertainment muss ja auch sein
Der Saal1 dabei war so voll, dass sogar die Stühle von der Bühne "geklaut" wurden - dazu gibt es ein paar Fotos, wie Fefe versucht sich dagegen zu wehren (na ja, mit Humor) und Erdgeist einen Stuhl erfolgreich sichert. Hab ich schon erwähnt, dass das BCC zu klein ist?



Richtig tief in die praktische IT-Sicherheit ging dann FX mit seinem "Defending the Poor" Vortrag. Hier wurde in meinen Augen mal aufgezeigt, dass Hacker nicht das Sterotype sind. Ein funktionstüchtiger Validator für Flash-Dateien ist schon was nettes. Das ganze dann als OpenSource freigeben: genial. Den kleinen Fipptehler bei der URL (blizableiter statt blitzableiter) mag man da verzeihen
Interessant ist auch, dass die Reaktion auf die Implementierung in C# kaum negativ war. Hier hat Mono wohl einige positive Lobbyarbeit in der OpenSource-Gemeinde geleistet.
Ich bin sehr gespannt was sich daraus noch entwickelt. FX selber schlägt Browser-Plugins und Flash Application Firewalls vor


Ansonsten freue ich mich auf heute abend und werde versuchen mir einen guten Platz in Saal1 zu sichern: Hacker Jeopardy
Ich hoffe ich kann wieder ein paar Fotos machen - ich bin extrem verwundert warum so wenig Besucher Fotos machen. Klar - andere Besucher als Motiv sind tabu, aber Sprecher und freiwillige Spieler auf der Bühne doch nicht.. Die Auflistung der Foto-Gallerys im offiziellen Wiki ist relativ verwaist und bei den üblichen Verdächtigen wie Flickr und Picassa ist wenig verfügbar. Aber vielleicht bessert sich das auch alles sobald die Nerds wieder nach Hause kommen und die Bilder von der Kamera auf den Rechner laden..

Ich sitze gerade noch im Bett und werde nachdem es erst um halb fünf zum Schlafen ging wohl noch weiterschlafen - aber hier schon mal ein kleiner Bericht vom letzten Tag.

Nach dem absolut coolen IPv4 Fuckup Vortrag mit einigen Zero-Day Exploits, ging es zum Chaos Familien Duell. Unser Team TBD (Studierende haben immer noch irgendwas zu tun) bestand aus k0re, wuerzelchen, Freddy, Mike und mir. Wir mussten dann in der letzten Auslosung antreten und schlugen uns am Anfang recht gut. Leider kostete uns die Frage "100 Hacker und Haecksen haben wir gefragt: aus welchen Bestandteilen setzt sich ein Atom zusammen?" mit dreifacher Punktebewertung den Sieg

Dennoch haben wir es mit der Frage "Nennen Sie eine Webseite" es bis zu fefe geschaft Direkt hinter Google und Heise habe ich fefe genannt und bekamen 24 Punkte Jetzt muss ich nur hoffen, dass fefe allenfalls auf die Foto-Gallery verlinkt anstatt auf meinen Blog - ansonsten wäre das ein typische Denial of Service. Ich weiß nicht inwiefern die Daten stimmen, aber die Veranstalter des Spiels meinten, dass beim Aufruf der Vermessung der Hackerszene über die Mailingliste nur 20k Leute mitgemacht haben, über Fefes Blog aber über 70k Teilnehmer motiviert wurden mitzumachen. Bei manchen Antworten fragt man sich aber ob hier wirklich die echten Hacker erreicht wurden.. Warum ist Blackberry kein Smartphone aber NOKIA und HTC!? Da besteht noch Optimierungsbedarf.
Viele, viele Fotos von diesem neuen Chaos-Spiel gibt es in der Foto-Gallery.

Leider habe ich die Tesla-Spule vorm BCC nicht in Betrieb gesehen. Von ein paar Blitzen hätte ich echt gerne Fotos gemacht. Der Aufbau ging schnell, aber irgendwas schien nicht zu funktionieren und draußen in der Kälte zu warten war schnell zu viel. Vor allem die Akkus haben das nicht so leicht weggesteckt.


Gestern nacht war ich dann ein wenig von Berlin enttäuscht. Es war nicht möglich nach 3 Uhr nachts noch eine einfache Verbindung zum Hostel zu bekommen. Nach einiger Überzeugungsarbeit sind wir dann gelaufen. Da macht sich die Lage vom Hostel bezahlt - nur knappe drei Kilometer vom Alex entfernt. Auch der 24x7 Laden um die Ecke macht sich bezahlt - es ist zwar ein Bio-Laden aber Mate für 1€ ist echt billig. Vor allem im Vergleich zum teuren Caterer im BCC...

Ansonsten bin ich gerade von Twitter angenervt. Es kann doch nicht sein, dass ich einer der letzten bin der noch richtig bloggt? Sich ein paar Minuten Zeit nimmt und nicht nur stupide Sätze ("Aufgestanden und kein Frühstück", "Aufgestanden und schon Frühstück") in die Welt schickt!? Wer liest denn den ganzen Müll? Im IRC wurde ja schon hämisch geäußert, dass keiner mehr Zeit zum Schreiben hat, da jeder nur mit Inhalt konsumieren beschäftigt ist...

Wir sitzen gerade in einem Raum und gucken den Stream von Saal1. Die Saalordner haben eine Viertelstunde vor Beginn des Vortrags schon keinen mehr reingelassen. Aber es gibt einen Exploit für den ersten Tag: ein Raum wurde vergessen und ist komplett leer, hat angenehme Temperaturen und natürlich Netzwerk

Wir sind erfolgreich auf dem 26c3 angekommen. Insgesamt habe ich neun Studis mit nach Berlin gekommen.
Nachdem gestern eher kulturelles Programm auf dem Plan stand, beginnt nun jeden Tag das Congress-Programm um 11 Uhr und geht bis tief in die Nacht.. Gerade haben wir sogar einen ruhigen Raum mit Switch gefunden
Ansonsten ist es mal wieder viel zu voll. Schon jetzt müssen viele auf den Gängen sitzen oder werden halt garnicht mehr in den Raum gelassen..
Für heute abend haben wir uns mit fünf Mann bei einem neuen Chaos-Spiel angemeldet: Chaos-Familien-Duell.


Leider liegen gerade drei Studis mit Schwindel und Übelkeit im Hostel . Manche tippen auf das Essen gestern abend (Pizzeria) aber der Rest (die Kontrollgruppe also) zeigt keine Symptome. Das CERT hat die erstmal nach Hause geschickt - falls es morgen nicht besser ist, geht es also zum Arzt... Das ist wieder mal typisch Murphy.


Ansonsten mache ich jede Menge Fotos - und einen kleinen Teil lande ich dann auch
Zu finden sind dann die Fotos in der Gallery der Fachschaft.

Mitten im Weihnachtsstress laufen die Vorbereitungen für den 26C3.
Diesmal geht es zusammen mit einigen Studierenden per Flug nach Berlin. Da der billigste Flug am 25.12 zu finden war, geht es morgen schon los. Wenn ich mir die Verkehrssituation angucke, kann man nur hoffen, dass alles reibungslos über die Bühne geht. Vom Preis her war der Flug günstig. Das oft gebrachte Argument durch die Abfertigung am Flughafen Zeit zu verlieren kann ich nicht ganz verstehen - immerhin braucht ein Zug dennoch mehr Zeit als Anreise zum Flughafen, Einchecken und Fliegen..

Das DECT-Telefon steht auf der Ladestation, alle Foto-Akkus aufgeladen, das ausgeliehene Netbook installiert und die Tasche gepackt - na ja mit dem Packen bin ich noch nicht wirklich fertig.

Jetzt erstmal das Weihnachtsprogramm absolvieren und es geht los

Nächste Woche finden wieder mal die MetaRheinMain ChaosDays beim Chaos Darmstadt statt.
Organisiert von den lokalen CCC-Gruppen im Rhein-Main Gebiet werden drei Tage lang Vorträge und Workshops angeboten.
Wer also aus dem Gebiet kommt und nicht die Große Fahrt zum 26C3 antreten will, sollte vorbeikommen. Beim mrmcd in Darmstadt habe ich noch mitgeholfen (und letztes Mal ein IPv6 Vortrag gehalten), aber aus Zeitgründen beschränkt sich meine Aktivität mittlerweile nur noch auf besuchen.

Im Vorverkauf sind die Kartenpreise sogar sehr studentenfreundlich
Jetzt müssen wir es nur noch schaffen, dass die mrmcd in Zukunft zur h_da als Location wechseln und alles wäre perfekt

Ich bin mal wieder auf einen mrmcd (meta rhein main chaos days)

Das Programm heute hat ein paar Highlights ist aber ansonsten nicht so spannend.
Informationsflussanalysen von snafu werde ich mir jetzt anhören und direkt danach kommt das HomeInfoPanel von Collin an die Reihe.

Gruml, es ist doch echt zum verzweifeln.
Gerade hat das OLG Frankfurt am Main entschieden, dass EC-Karteninhaber deren EC-Karte geklaut wurde, kein Anspruch auf Schadensersatz haben. Das Problem: die Karteninhaber behaupten nie ihre PIN weitergegeben zu haben.

Und dann meint der Richter noch, dass die Karteninhaber einen "atypischen Verlauf" nachweisen müssen.
Wenn man jetzt aber den Richter seine PIN knackt - sei es nun über eine versteckte Kamera oder andere Hilfsmittel - dann wird er wohl der erste sein, der Anzeige erstattet.

Sprich: man kann nur nachweisen, dass man unschuldig ist wenn man selber zeigt, dass es möglich ist (und das wird im Regelfall nicht unbedingt legal ablaufen)

Und wieder mal hat Darmstadt abgeräumt - unser Team DOS ist auf Platz 1

Es war zwar alles wie immer recht chaotisch, aber auch recht witzig (lag unter anderem an den kurzen Zwischenvideos auf dem Beamer)

Larsipulami hat einige Bilder gemacht und auch darüber berichtet.


Update: mittlerweile gibt es eine Pressemitteilung

Manchmal bin ich echt froh, dass ich in Punkto Sicherheit ein wenig mehr Aufwand reinstecke.
So wurde gestern abend einer meiner Apache-Vhosts gehackt und eine Remote-Shell hochgeladen (Ursache: eine alte PHP-Software, die eigentlich schon geupdatet wurde aber von einem Sicherungs-Restore wieder auf die alte Version zurückgesetzt wurde )

Dank sauberer Trennung der Vhosts (jeder Vhosts hat einen eigenen Systembenutzer) und Hardened-PHP ist nichts passiert.
Jetzt muss ich nur den Inhalt des Vhosts noch komplett löschen und neu aufsetzen.

Ohne Netz und doppeltem Boden? Ohne mich

Meine ehemalige Uni hat ein nettes System im Probebetrieb gestartet: Webtasks
Idee hinter dem System ist, dass angehende Stundenten kleine Programmieraufgaben und Wissenstests online lösen können. Zwar noch stellenweise recht buggy, aber vom Ansatz her wirklich geil.

Interessant für fortgeschrittene Programmierer ist hierbei die eingehende Analyse des System bzw der Absicherung
Viel Spaß beim Lesen der folgenden Seiten

Eins muss man Apple lassen: die Werbespots sind gut (gefunden bei tapetenageln)

Aber an der firmeninternen Kommunikation müsste man noch arbeiten: sich über die Sicherheitssysteme anderer Firmen auszulassen nachdem ein Monat lang viele Sicherheitslücken veröffentlicht wurden ist in meinen Augen nicht gerade geschickt..

btw: bis auf ein paar Ausnahmen finde ich UAC gut und nur kaum störend.

Gerade bei Schrankmonster gelesen: die ersten 23C3 Videos sind online

Direkte URL: http://dewy.fem.tu-ilmenau.de/CCC/23C3/video/

Der Hacker-Contest iCTF2006 lief am Freitag erfolgreich über die Bühne. Trotzdem typischer chaotischer Struktuen in unserem Team und etlicher Fehler, die eigentlich nicht mehr passieren dürften, haben wir den zweiten Platz erlangt. Nur das Team aus Wien "We 0wn Y0u" konnte uns schlagen.

Interessant war diesmal das neue Prinzip: keine Flaggen in Form von Zeichenketten klauen, sondern eine Simulation von einem Netzwerk diverser Banken. Ziel war es, andere Banken dazu zu bringen, der eigenen Bank Geld zu überweisen. Inkl. Startgeld kam das Wiener Team auf einen Endbetrag von 14.963.559 - unser Team "Wizards of DoS" kam auf 11.260.725. Eine stattliche Summe, wenn man bedenkt, dass jede Bank mit 1.000.000 angefangen hat. Das schlechteste Team wurde ordentlich geplündert und endete mit einem Kontostand von 637 Dollar

Auch Heise hat darüber berichtet.

Update: Mittlerweile ist auch der Zeit-Artikel online

Eigentlich ist es pervers: die Hackertools sollen verboten werden und im gleichen Zug wird dem BKA und Verfassungsschutz das Hacken explizit erlaubt.

Was ich von dem Hackertoolverbot halte, habe ich ja schon mal geschrieben - aber der Zugriff des Staates auf eben solche ist das i-Tüpfelchen..

Armes Deutschland

Irgendwie wundert es ja einen immer wieder, wo die ganzen Ressourcen der Spammer, Phisher usw herkommen..

Wenn man dann in einem Forum zum Thema dedicated Server folgendes liest, wird es klar:

muss gestehen ich hab mich schon ewigkeiten nicht mehr um meinen Server gekümmert, und bin deswegen aus der ganzen Suse geschichte etwas raus gekommen. [..]
kann mir jemand sagen wie ich das Ding noch retten kann ?
Es handelt sich im Suse 8.1
[..]
Alle meine php und Html Dateien auf meinem Webserver wurden zur selben Zeit am selben Datum geändert !
[..]
muss gestehen das ich meinen Server in letzter Zeit zeimlich verkommen hab lassen.
[..]
muss er den umbedingt neu aufgesetzt werden
[..]
zu ausbildungszeiten war ich wirklich fit auf dem zeugs...
debian und suse zumindest war überhaupt kein Problem..
nur wenn man sich 3-4 jahre nicht mehr drum kümmert bleibt eben so einiges auf der strecke liegen....

Aber werd mich jetzt wieder ein bischen dahinter machen!

Aber im Internet gibt es ja genug Verrückte..

Demnächst startet der nächste iCTF (ein Hacker CTF) von der UCSB
Wieder einmal kann man andere Rechner hacken und die ganzen bald vielleicht verbotetenen Hackertools nochmal richtig ausnutzen

Details unter www.cs.ucsb.edu/~vigna/CTF/.

Wie schon länger bei Heise zu lesen war, hat der CCC mit der niederländische Initiative "Wir vertrauen Wahlcomputern nicht" ein bißchen die Wahlcomputer gehackt. Nachzulesen z.B. beim CCC.

Nun gibt es eine offizielle Petition gegen den Einsatz von Wahlcomputern.
Also bitte die Artikel lesen, sich eine Meinung machen (falls noch nicht vorhanden) und gegebenfalls die Petition unterschreiben!