The Turkey Curse
fukamis terror chatroom

Wochenende - Movietime

Setting Orange, 30th Chaos, 3172.
Film fukami 11333 1 Comment | Trackback URI

Dieses Wochenende war ich mal total faul und habe mich einfach nur dem feisten Filmgucken hingegeben. Hier eine Übersicht:

* **Team America**
Kotzende, zerplatzende, blutspritzende und fickende Marionetten, explodierende Pyramiden, ein gefällter Eiffelturm, Spezialfahrzeuge in Farben des Star-spangled Banner, ein Kim Jong Il lässt Hans Blix von Haien zerreissen, Michael Moore als Selbstmordattentäter, ein stotterner Matt Demon, die Macht der Film Actors Guild (kurz: F.A.G.): Teilweise sehr nett gemacht und voller amüsanter Ideen, trotzdem leider insgesamt eher sehr enttäuschend für einen so grossen South Park-Fan wie mich. Da hätte man wesentlich mehr draus machen können.

* **Wer hat Angst vor Ruppert Murdoch?**
Aufschlussreiche Dokumentation von Arte zu einem der wohl mächtigsten Manipulatoren unserer Tage. Hab’ dabei einige Details erfahren, die ich noch nicht wusste.

* **The Corporation**
Dreiteilige, interessante Doku über die Macht grosser Firmen. Muss ich mir aber noch mal ansehen, weil ich teilweise durch Chatten abgelenkt wurde und bestimmte Sachen nicht richtig verstanden habe.

* **Conspiracy Theory - Did we land on the Moon?**
Sternenloser Himmel, ähnliche Hintergründe für unterschiedliche Orte, falscher Lichteinfall, eine wehende Amifahne, obwohl keine Atmosphäre existiert, eine Kapsel, die keinerlei Kraterspuren bei Start oder Landung auf dem Mond hinterlässt, Füsse der Fähre, die vollkommen ohne Staub sind. Wurde die Mondlandung in Area 51 gedreht? Und war Capricorn One gar ein Film der die Realität genau abgebildet hat? Naja, interessante Details teilweise, aber irgendwann waren bestimmte “Fakten” dieser Doku dann aber doch etwas zu weit hergeholt für meinen Geschmack. Da fällt mir doch der wunderbare Kurzfilm Luna 13 mit Helges Mutter Andreas Kunze ein, der das Ganze wesentlich lustiger thematisiert.

* **Crash** (auch L.A. Crash)
Ein Film aus miteinander kunstvoll verwobenen Episoden von Paul Higgis, der sich u.a. mit den vielen Fazetten des Rasismus auseinandersetzt. Ich will über den Film gar nicht viele Worte verlieren, ausser dass ich ihn wirklich sehr gut fand. Schönes Zitat: “You think you know who you are. You have no idea.” Wahre Worte, gelassen ausgesprochen.

* **Sneakers**
Klassiker. Immer wieder toll.

* **The Interpreter**
Eher durchwachsener bis kitschiger Film von Sidney Pollack über eine Übersetzerin bei der UN, die von ihrer Vergangenheit in Afrika eingeholt wird. Interessantes Detail: Das ist der erste Film, der jemals in allen Teilen des UN-Hauptquatiers in New York gedreht werden dürfte. Ansonsten im Ganzen eher uninteressant finde ich.

* **Rounders**
Sowas wie eine moderne Version des Klassikers Cincinnati Kid mit einer ganzen Reihe sehr guter Schauspieler, wobei mir John Malkovich und Edward Norton am Besten gefallen haben. Kein Topfilm, aber gute Unterhaltung.

Manchmal brauche ich so eine betäubende Filmkeule für mein inneres Gleichgewicht …

---

Bilder von Tiananmen bei Google

Pungenday, 28th Chaos, 3172.

Ein beeindruckendes und sehr anschauliches Beispiel für Googles Zensur grade bei PlasticThinking gefunden:

* http://images.google.com/images?q=tiananmen
* http://images.google.cn/images?q=tiananmen

Update: Nettes Detail: Wenn man sich vertippt, dann kommen z.Zt. noch brauchbarere Ergebnisse zurück: http://images.google.cn/images?q=tianenmen. Ist ja mal eine interessante Diskussion, wie man z.B. durch gezieltes Falschschreiben Filtermassnahmen zumindest zeitweise austricksen kann.

---

Die perfekte Versionsnummer

Pungenday, 28th Chaos, 3172.

Im Netzladen gab es gestern eine lustige Diskussion darüber, was den eine vertrauenserweckende Versionsnummer sei. Wir hatten dann so Vorschläge wie 6.3.1, denn das klinge doch wie ein ausgereifstes Produkt, eine 1 an dritter Stelle zeige doch, dass die Entwicklung weiterginge usw. Dann ging die Diskussion los,die 6 am Anfang klinge wie ein lang gewachsenes und in die Jahre gekommes Stück Software — 2.4.3 klinge viel besser, nach einem frischen Produkt und nach engagierter Entwicklung und danach, dass Version 2.5. kurz vor der Fertigstellung ist. Aber eigentlich sind Versionen mit 2 und grader zweiter Nummer Linuxkernel. Will man also auch nicht wirklich. Die perfekte Versionsnummer haben wir am Ende jedenfalls trotz langer Diskussion nicht gefunden, sondern eher Nummern, die nicht auftauchen sollten, weil diese entweder einfach unangehme Assoziationen wecken oder sonstwie “verbrannt” sind. Einige Bespiele:

* Nummer Punkt Null (immer schlecht, weil bei .0-Versionen Bugfixes erwartet werden und einfach unreif klingen)
* 3.11 (ist ein für alle Mal verbunden mit Windoze for Workgroups)
* 5.5 (die Nummer, die einen einerseits an an den IE denken lässt, andererseits an Adobe Illustrator)
* 8.1 oder 8.6 sind klassische MacOS-Versionen
* Nummern grösser gleich 9 klingen wie aufgeblasene Monster, die sich überlebt haben (Oracle, MacOS, Photoshop …)

Deswegen geht man wohl teilweise dazu über, zumindest für den Arbeitstitel auch andere Schemata zu benutzen: Raubtiere, Rindviecher, Figuren aus Toystory oder andere Comic-Figuren, Städte. Allerdings wird sich das auch nicht so recht durchsetzen, weil es grosse Verwirrung hervorruft. Denn wer kann sich schon merken, ob beispielsweise _Flotter Dachs_ vor oder nach _Frecher Pinguin_ released wurde?

---

Exploiten für Doofe: dsidentity in MacOS 10.4.x bis 10.4.2

Boomtime, 27th Chaos, 3172.
Code fukami 85196 No Comments | Trackback URI

Im vorangegangen Posting über MacOS X war von dsidentity die Rede. Auf Astros Anregung hin will ich mal kurz erläutern, warum dieser Exploit allerorten so viel Heiterkeit ausgelöst hat. Aus der Manpage:

dsidentity is a setuid tool that allows addition or removal of identity user accounts in Directory Services. The dsidentity tool creates a partial but valid system identity in the local Directory System. This identity is created with the intent to support remote sharing capabilities. Version 1.00 supports local shadowhash passwords as regular local user records.

Der exploitbare Teil des Codes dazu sieht so aus:

char *envStr = nil;
envStr = getenv("USER");
//check for member of admin group
if ( (envStr != nil) && UserIsMemberOfGroup( inDSRef, inDSNodeRef, envStr, "admin" ) )
{
     return true;
}

Gucken wir doch mal, was die Umgebungsvariable _USER_ zurückgibt — so mancher wird sich jetzt schon den Bauch halten:

neutron:~ % export USER=root_oder_hans_oder_so
neutron:~ % env|grep USER
USER=root_oder_hans_oder_so

Interessantes Konzept jedenfalls …

Ach ja, es gibt noch eine andere lesenswerte Beschreibung dazu.

---

Der Apfel, dessen Nutzer und die Sicherheit

Boomtime, 27th Chaos, 3172.

Ich benutze ja nun schon seit Äonen Apple Hardware und Betriebssysteme. Nicht, dass ich das aus ideologischen Gründen tue oder glaube, das wäre das beste OS und die beste Hardware unter der Sonne, sondern eher weil ich meistens einfach keine Lust zum Rumfrickeln habe und es stabil und im Grossen und Ganzen zuverlässig seinen Dienst tut. Es ist eben für mich gut genug und z.Zt. finde ich für mich persönlich erstmal nichts Besseres. Aber langsam geht mir die Firma so richtig auf den Keks. Ob das die Nummer mit spyTunes ist, ihre Anstalten rund um DRM, ihre Preispolitik, bei der sie den Europäern einfach mal den Finger in den Po stecken, das drohende baldige Auslaufen des PPC-Supports oder die Art wie Apple mit Security umgeht: Immer wieder Nadelstiche, die mir sehr zu denken geben. Dazu bin ich häufig von Mac-Zealoten umgeben, die der Meinung sind, das Apple die beste Firma des Universums sei, so ganz anders funktioniere als die restliche Industrie und bei denen User kein Schlachtvieh wie z.B. bei Microsoft sind.

Die Reaktionen der Leser auf den Artikel bei ZDNet Australia Ancient flaws leave OS X vulnerable? dort oder z.B. auch bei Macnews sind schon mehr als seltsam und wirken auf mich teilweise wie eine Realsatire. Ja, Apple schiebt immer mal Security-Updates hinterher, aber nur ein kurzer Blick, z.B. auf Securityfocus zeigt eine ganze Reihe aktuell gefixter Probleme, die, bei etwas genauerer Betrachtung, einfach lächerlicher Natur sind. Programme wie dsidentify, ein Tool, das zum Anlegen und Löschen von Useraccounts gedacht war und das als Fix schlicht gelöscht wurde, hätte wohl niemals in das Endprodukt einfliessen sollen. Aber auch das mag vielleicht gar nicht so sehr das Problem sein.

Vielleicht wird es ja mal einen Virus für MacOS X geben, vielleicht aber auch nicht. Macht im Kern meiner Meinung nach keinerlei Unterschied. Das wäre wohl höchstens als Erweckungserlebnis mal ganz gut, aber spielt sonst eben keine Rolle. Denn ich denke, die ganzen Dinge offenbaren ein ganz anderes Problem. Dieses OS ist prädestiniert für Angriffe auf die persönliche Integrität seiner User, wo oftmals keine Anti-Virensoftware, Little Snitch oder andere Tools der Art irgendeinen Schutz bieten, da sie meist eher gegen anonyme Exploitation helfen sollen (in die man auch nicht reingucken kann um zu sehen, was die so genau machen und eigentlich selbst ein Threat sein könnten — ich erinnere nur, dass mit dem Unterbau des MacOS Mach Injections möglich sind). Angriffe können sich aber beispielsweise gezielter gegen Browser oder Feedreader richten, die in einer Community, die sich so wenig Gedanken darum macht was da auf ihren Kiste eigentlich genau passiert, ganz hervorragende Möglichkeiten schafft. In weiten Teilen sind nicht mal Exploits oder JavaScript-Spielereien nötig, um sich interessante Szenarien auszumalen, langsam und unauffällig beispielsweise Logindaten zu stehlen. Für Botnetze braucht man Macs einfach nicht, dafür gibt es mehr als genug Windowsboxen. Macuser sind als persönliche Ziele oft auch viel interessanter, weil sie häufig mehr Geld für ihren digitalen Lifestyle ausgeben und einfach hip sein wollen. Perfekte Ziele für eine bestimmte Art von Attacken eben.

Ich habe in letzter Zeit immer Mal bei verschiedenen Anlässen, vor allem wenn viele Macuser anwesend waren, meinen Rüssel reingehalten und eigentlich immer zumindest Logins zu Mailaccounts, Weblogs, Social Communities aber auch anderes bekommen können. Aber auch in meinen verschiedenen Weblogs hinterlege ich immer mal wieder diesen oder jenen No-Brainer, und was soll ich sagen: Die einzigen, die es trifft sind ganz offensichtlich jene Macuser, die ihre Passwörter convenient-halber im Schlüsselbund sichern oder Login-Cookies benuten, die nicht expirern. Ich benutze diese Daten nicht, sondern sage den Leuten immer brav Bescheid, aber erstaunen, ja entsetzen, tut es mich trotz alledem, wie leicht es manchmal ist, gezielt User zu exploiten, vor allem wenn sie Macs benutzen. Da sind sie also im Kern kein deut besser als die Windoze-User, auf die sie so gerne mit dem Finger zeigen.

Wenn dazu auch noch eine Firma kommt, bei der es teilweise mit dem Verständnis für Security ob immer mehr und neuer Features nicht weit her ist, dann tun mir die armen User ehrlich und aufrichtig leid. Vor allem wenn diese glauben, in einem auf einer Bühne seine Show abziehenden Evangelisten ihr Seelenheil und digitale Zukunft zu finden und in heftige Hyperventilation ausbrechen, wenn jemand mal anmerkt, dass die auch nur mit (oft reichlich abgestandenem) Wasser kochen. Ein Zitat von Neil Archibald aus dem o.g. Artikel, um das mal zu an einem tieferliegenden Problem zu illustrieren:

Bugs like this _(Anm.: gemeint ist dsidentify)_ require a simple glance over the code to notice and are long dead on other operating systems… When we spoke to Apple on the phone about this issue, the security team had never even heard of the application, and burst out laughing at the simplicity of the vulnerability.

Und so geht es oft auch Usern, die zumindest was verstehen von der Materie, wenn es um Exploitation supersimpelster Art ihrer persönlichen Umgebung geht.

---

Friday is hawaiian shirt day

Boomtime, 27th Chaos, 3172.
Film fukami 6589 1 Comment | Trackback URI

So if you could just get to that as soon as possible - that’d be terrific. Kann man gar nicht oft genug sehen: Office Space.

---

Namen aus der russischen Raumfahrt

Boomtime, 27th Chaos, 3172.

_Notes to myself:_

Namen russischer Trägersysteme, Satelliten oder Programme (ohne militärische Systeme und kryptische Kürzel): Angara, Astron, Aurora, Belka, Berkut, Bion, Block, Breeze, Bris, Briz, Buran, Burlak, Cosmos, Demonstrator, Dnepr, Ekran, Energija, Express, Fobos, Foton, Fregat, Glonass, Gals, Geos, Gorizont, Ikar, Jamal, Jantar, Jastreb, Kazsat, Kliper, Korwet, Kosmos, Kvant, Laika, Luch, Luna, Lunik, Lunochod, Maks, Majak, Mars, Meteor, Mir, Molnija, Monitor, Okean, Onega, Orbita, Orjol, Pirs, Poljot, Poljus, Priboi, Progress, Proton, Raduga, Rif, Riksha, Rockot, Rus, Saljut, Sarja, Shtil, Sojus, Spiral, Sputnik, Start, Strela, Swesda, Switjas, Taimyr, Uragan, Urengoi, Vega, Venera, Volna, Vosdushny, Vysota, Woschod, Wostok, Zenit, Zond, Zyklon

Namen russischer Kosmonauten: Afanassjew, Alexandrow, Artjuchin, Arzebarski, Atkow, Aubakirow, Awdejew, Axjonow, Balandin, Baturin, Beljajew, Beregowoi, Beresowoi, Budarin, Bykowski, Chrunow, Deschurow, Djomin, Dobrowolski, Dschanibekow, Feoktistow, Filiptschenko, Gagarin, Gidsenko, Glaskow, Gorbatko, Gretschko, Gubarew, Iwantschenkow, Jegorow, Jelissejew, Jurtschichin, Kadenjuk, Kaleri, Kisim, Klimuk, Komarow, Kondakowa, Korsun, Kosejew, Kowaljonok, Krikaljow, Kubassow, Lasarew, Lasutkin, Lawejkin, Lebedew, Leonow, Lewtschenko, Ljachow, Lontschakow, Makarow, Malentschenko, Malyschew, Manakow, Manarow, Morukow, Mussabajew, Nikolajew, Onufrijenko, Padalka, Pazajew, Polestschuk, Poljakow, Popow, Popowitsch, Rjumin, Romanenko, Roschdestwenski, Rukawischnikow, Saljotin, Sarafanow, Sawinych, Sawizkaja, Schargin, Scharipow, Schatalow, Scholobow, Schonin, Serebrow, Sewastjanow, Solowjow, Strekalow, Sudow, Tereschkowa, Titow, Tjurin, Tokarew, Treschew, Ussatschow, Wasjutin, Wiktorenko, Winogradow, Wolk, Wolkow, Wolynow, Ziblijew

---

GVU

Setting Orange, 25th Chaos, 3172.

GVU - Gesellschaft von Urheberrechtsverletzern e.V.

HaHaHa!

Ich wusste gar nicht, dass es Raubkopierer-Schreibtische gibt, und frage ich mich, worin sie sich von denen der Nicht-Raubkopierer unterscheiden. Durch die drumrum hängenden geschmackvollen Stilleben?

---

Guerilla Gardening

Setting Orange, 25th Chaos, 3172.

Topinambur Helianthus Tuberosus

Durch ein Post von Su-Shee, der ich auf dem Wege gute Besserung wünsche, bin ich wieder daran erinnert worden, mal einen Eintrag zum beliebten Thema _Ackerbau und Viehzucht in der Stadt_ zu veröffentlichen, der irgendwie schon eine ganze Weile hier rumgammelt.

Während der Begriff Guerilla Gardening an sich eher einen politischen Hintergrund offenbart und meist mit Antiglobalisierung und zivilem Ungehorsam gleich gesetzt wird, gibt es zumindest in Teilen Ostdeutschlands — von Dresden, Leipzig und Zwickau weiss ich es genau– einige Leute, die diese Form der modernen Landwirtschaft betreiben um einen Teil ihres Überlebens zu sichern. Anders als die politisch-motivierte Form kommt dabei z.B. keine Hanfsamen oder ähnliches zum Einsatz — bringt ja auch nix, weil diese wenig nahrhaft, meist durch zu frühe Ernte ihre Blüte nicht erleben und praktisch unbrauchbar für eine Weiterarbeitung sind.

Bei den Leuten von denen ich rede sind die Gründe ganz klar: Sie bekommen wenig bis gar keine finanzielle Unterstütung. Eine der Pflanzen, die beispielsweise in Stadtgärten angebaut wird, ist Topinambur. Dieser aus Mittelamerika stammende Neophyt hat einige sehr interessante Eigenschaften, die sie quasi für diese besondere Art des Anbaus prädestiniert: Sie ist sehr nahrhaft, schmeckt ziemlich lecker (manche sagen sie schmecke wie Artischocken), sie enthält Inulin (ein Mehrfachzucker, den auch Diabetiker zu sich nehmen können) und lässt sich auf vielerlei Art verarbeiten. Sie war sogar in Europa vor Einführung der Kartoffel ein Nahrungsmittel, das eine relativ grosse Verbreitung hatte. Es gibt aber noch ein anderes Detail, die sie interessant macht: Sie ist ein mehrjähriges “Unkraut”, das andere Pflanzen massiv verdrängt und nur schwer wieder zu entfernen ist. Die Pflanze vermehrt sich vegetativ über ihre stark kohlehydrathaltigen Wurzeln und kann auf diese Weise andere, vor allem kultivierte, Zierpflanzenarten dominieren.

---

Erlang the Movie

Pungenday, 23rd Chaos, 3172.
Code fukami 57033 No Comments | Trackback URI

Grade gefunden: Erlang the Movie. Ich kann mir nicht helfen, aber das hat irgendwie was von einer Mischung aus Sendung mit der Maus und Monty Python.

@Tim: Das ist doch mal ein echter Geekfilm ;-)

[via Uncentered Mind]

---

Finding friends on teh intarweb, Part 1

Pungenday, 23rd Chaos, 3172.

Geeks like me are often ugly, lonely as well as somehow mentally and socially disrupted. Luckily there are a bunch of social services out there which are very helpful to get around that problem. But to get on the list of people can be very cumbersome: you need to chat or even meet someone IRL i.e. at conferences, bars and stuff. So the main question is how that can work without any user interaction from the other side, injecting AJAX, using SQL injections or uberl33t exploits. In some cases the answer can be _very very_ simple, so simple that it’s not even real funny.

First of all you need to have a service which performs the interessting parts via HTTP GET requests. One example is Plazes, a quite popular geo location service. To add a person as a friend at Plazes the requests looks like *http://beta.plazes.com/friends/friendadd?friend=[hash_of_user_name]*.

Second you need to trigger this script with credentials of the person who should add you as his/her friend. For this it’s handy to have a blog, a website, a feed or something like that and include for example an image tag, but instead of using a real image, use the URI for the trigger. Since the browser doesn’t know if the request points to a picture or another ressource, it just calls the URI and performs the script for that user without his knowledge. If the user hasn’t logged off the service properly (which is the case very often) the request will be successful, even he’s not actually logged in (well, he is from the applications point of view). Most of you propably already recognized that this simple and well known technique often called CSRF (for Cross Site Request Forgeries).

I recognized a very interesting and neat detail: All users I got an my list are Mac users, and all of them are using NetNewsWire as their preferred feed reader. So NNW, as an application which is based on WebCore, shares the cookie file located under _/Users/username/Library/Cookies/Cookies.plist_ with Safari, which opens a bunch of highly entertaining possibillities.

So if you like to try that at home, hurry up. I guess they’ll change it soon and use a unique token as an extension which will make it a bit more difficult for you to get the friends you are looking for. But even if this doesn’t work any longer, there are much more services out there which are sometimes even worse …

Update:

[removed]

Just to make it clear: My intention was not to show how to exploit plazes or to blame them. It was just an example on a general issue, not more, not less.

---

Das menschliche Auge und ein Fisch, letzterer versteinert

Pungenday, 23rd Chaos, 3172.
Art fukami 10030 1 Comment | Trackback URI

Baargeld: Das menschliche Auge und ein Fisch, letzterer versteinert

---

MacHackers-Geekend in Mülheim

Boomtime, 22nd Chaos, 3172.

Dieses Wochenende fand in Mülheim a.d. Ruhr im AZ ein MacHackers-Geekend statt. Ich persönlich fand sowohl die Atmosphäre in dem Haus sehr angenehm als auch die anwesenden Leute im Allgemeinen und Speziellen. Das Ganze war zwar nicht so produktiv wie es hätte sein können, aber immerhin ist ein Prototyp eines neaten Filesharing-Tools namens *Exhibitionist* dabei rausgekommen. Aber auch ansonsten gab es eine Menge schöner Gespräche, toller Rants und Pommes in der vielbeschworenen Erika.

Von den Veranstaltungen im AZ habe ich wenig mitbekommen. Freitag lief dort u.a. Elektro, aber ich bin denke ich viel zu verwöhnt, um dort so richtig abgehen zu können. Die DJs haben leider so gar nicht gemixt und die Trackauswahl war sehr durchwachsen bis eher uninteressant. Samstag habe ich von der Veranstaltung gar nichts mitbekommen ausser einer sehr kakophonischen Melange von sowas wie Klezmer und Indierock, die sich im Seminarraum, in dem wir uns die ganze Zeit aufgehalten haben, bildete. So richtig prall war das jedenfalls nicht, aber ich habe mich halt auch nicht richtig auf Party eingelassen.

Jedenfalls war es schön und ich hoffe, dass wir diese Form der Veranstaltung wieder mal machen können. Besonderen an prometoys und sv für die nette Gastfreundschaft unf Vorbereitung, aber auch an die anderen Leute im AZ. Tolles Haus das ihr da habt.

Jens,der übrigens Dank der Androhung struktureller Gewalt durch Nico endlich wieder bloggt, hat noch etwas ausführlicher darüber geschrieben, was da in Mülheim eigentlich genau abgegangen ist.

---

Kleine Portion Pommes Spezial bei Erika

Boomtime, 22nd Chaos, 3172.

Erika's Braterei

Bei Jens zu lesen, hier noch Mal als Bild: Eine _kleine_ Portion Pommes Spezial bei Erika. Ich habe beim besten Willen keine grosse geschafft, ganz im Gegensatz zu Jens, Angelo und Tim!

---

Erika’s Braterei

Setting Orange, 20th Chaos, 3172.

Erika's Braterei

Es gibt sie wirklich!

---

Next Page »


The human race is faced with a cruel choice: work or daytime television.

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.104 seconds.