The Turkey Curse
fukamis terror chatroom

Die Allgemeine Erklärung der Menschenrechte als Audio

Sweetmorn, 26th Chaos, 3173.

Im [БэФ블록][befblog] gibt es die 30 Artikel der [Allgemeinen Erklärung der Menschenrechte][Allgemeine Erklärung der Menschenrechte] als [Audioversion][Audio] unter einer CC-Lizenz zu geniessen. Diese Erklärung wurde am 10. Dezember 1948 per Resolution durch die Vollversammlung der [Vereinten Nationen][UN] verabschiedet und beinhaltet so schöne Sätze in Artikel 1:

Alle Menschen sind frei und gleich an Würde und Rechten geboren. Sie sind mit Vernunft und Gewissen begabt und sollen einander im Geiste der Brüderlichkeit begegnen.

Klasse!

[befblog]: http://pentaphase.de/
[Audio]: http://pentaphase.de/index.php?/archives/5-Menschenrechte-in-Ton.html
[UN]: http://de.wikipedia.org/wiki/Vereinte_Nationen
[Allgemeine Erklärung der Menschenrechte]: http://de.wikisource.org/wiki/Allgemeine_Erkl%C3%A4rung_der_Menschenrechte

---

whois google.de

Pungenday, 23rd Chaos, 3173.

Wraith> whois google.de
% Copyright (c)2006 by DENIC
% Version: 1.06.0
[…]
Domain: google.de
Domain-Ace: google.de
Nserver: ns1.namesecure.de
Nserver: ns2.namesecure.de
Status: connect
Changed: 2007-01-23T00:30:34+01:00

[Holder]
Type: ORG
Name: favo
Address: Hellmundstr. 31
Pcode: 65183
City: Wiesbaden
Country: DE
Remarks: ID #8616
Changed: 2004-10-27T10:45:06+02:00

[Admin-C]
Type: PERSON
Name: Mario Micklisch
Address: Hellmund Str. 31
Pcode: 65183
City: Wiesbaden
Country: DE
Remarks: ID #8614
Changed: 2004-10-27T10:46:05+02:00

[…]

Zwischendurch war als Domainowner ein “Martin Rustemann” eingetragen. Mittlerweile ist aber der Nameserver wieder auf ns*.google.com gesetzt. Da war wohl jemandem der Traffic zu heftig =)

---

Warum bestimmte Regularien und Politiker gefährlicher als bombenlegende Hacker sind

Boomtime, 22nd Chaos, 3173.

Ich habe die letzten Tage einige Geschichten zu dem seit etwas über einem Jahr schwellenden Telecom Italia-Skandal erfahren. Die Affäre ist in ihrer Gesamtheit zu unübersichtlich und weit verzweigt, um sie in 2-3 Sätzen abzutun. Zudem kann man sich bei einigen Details leicht auf’s Glatteis begeben, so dass ich nicht konkreter auf das eingehe möchte, was da im Einzelnen alles passiert ist, und eine Menge Details sind Spekulation. Der interessierte Leser möge sich bitte selbst um die entsprechenden präziseren Informationen kümmern. Ich sehe dennoch darin ein interessantes Lehrstück über die Macht, die mit bestimmten Regularien bestimmten Unternehmen, Institutionen oder Personen gegeben wird, die das Ausnutzen zu allen möglichen privaten, geschäftlichen oder politischen Zwecken einfach zu verlockend — und für die Gesellschaft sehr verhehrend — macht.

In einem schrägen Seitenaspekt im TI-Skandal wurde das System, welches Abhörschnittstellen für Strafverfolger bereitstellt, dazu missbraucht, jederzeit jeden, der über die TI-Netze kommunizierte, am “eigentlichen” Zweck vorbei (sprich: im gesetzlich festgelegten Rahmen) in Real-Time zu abzuhören und zu überwachen — was eine Menge Leute betraf, da TI praktisch mehr noch als die Deutsche Telekom und deren Töchter das Netz in Italien beherrscht. Diese Möglichkeit wurde rege in Anspruch genommen, vor allem um belastendes Material über potenzielle Gegner wie Journalisten, Anwälte oder einfach andere mächtige Player zu bekommen, aber auch um Leute zu erpressen, auf deren Dienste man aus dem einen oder anderen Grund nicht verzichten wollte. Dieses Material über sexuelle Vorlieben, Verbindungen oder nicht-koschere Geschäfte hat sich über die Zeit natürlich zuhauf angesammelt und wurde entsprechend zum richtigen Augenblick geleakt (den Juventus-Fall z.B. ist dabei ein auch bei uns bekannteres Beispiel). Möglich war das alles aus verschiedenen Gründen: Der Chef der TI benutzte wohl dieses System um private und geschäftliche Konkurenz zu kontrollieren, ein ihm bekannter Geheimdienstler fand ebenfalls gefallen an den Möglichkeiten, später einige Polizisten, Journalisten, Politiker und weitere Beteiligte, wie z.B. eine private Sicherheitsfirma, die sich davon eine Menge versprachen. Dieses System arbeitete war im Kern sehr einfach: Jemand aus der Gruppe, der irgendwelche Infos haben wollte, erhielt diese au Zuruf. Oder es wurden einfach Polizisten oder andere Schnüffler eingesetzt, um Leute in real life zu überwachen. Andererseits wurden die Informationen weitergereicht, wenn gegen Beteiligte irgend etwas vorlag oder Ermittlungen angestrengt wurden.

Wir haben also hier einen Fall, in dem nicht “von unten” eine Penetration stattfand, sondern “von oben”. Moderne Technologie ist dazu angetan, ganze Staaten samt Repräsentanten und sonstiger Bewohner zu kontrollieren und manipulieren. Missbrauch ist leicht denkbar, nicht nur in Ländern wie Italien, in denen Korruption und Mafia-ähnliche Strukturen sowieso an der Tagesordnung zu sein scheinen, nein, das passiert hier in Deutschland ganz genau so, und die Möglichkeiten etwas dagegen zu tun sind nicht wirklich üppig. Mir fällt zum Beispiel der Fall eines Wirtschaftsministers ein, der zu einem Unternehmen wechselte, das er in seiner Regierungszeit zu kontrollieren hatte. Und dies ist wirklich kein Einzelfall, eher im Gegenteil: Politiker gehen ganz offen mehr und mehr dazu über, nachdem sie eine bestimmte Stufe erreicht haben, daraus eine Vorteilsnahme zu machen und missbrauchen letztendlich das durch Wahlen in sie gesetzte Vertrauen um sich persönlich zu bereichern.

Wenn der Missbrauch so attraktiv ist wie der, jederzeit alle Daten über alle Bürger erhalten zu können, wird dieser stattfinden, und zwar nicht durch Eindringlinge von aussen, sondern von Innentätern, die das Verständnis der Vorgänge und die Möglichkeit des Missbrauchs haben. Vielleicht wird dieser Missbrauch sogar hier oder da gesetzlich legitimiert, aber Missbrauch ist das aus meiner Sicht trotzdem.

Der parlamentarische Staatssekretär [Thomas Rachel][Rachel] (CDU) gab jüngst folgenden Auswurf von sich:

Wichtige Infrastrukturen wie zum Beispiel die Telekommunikationsnetze hängen stark von Computertechnik ab. Deshalb müssen wir der Gefahr begegnen, dass ein Hacker genau so viel Schaden anrichten könnte wie ein Bombenleger.

Hacker handeln in dem Allgemeinen aus ethischen Motiven oder aus Spass an der Sache. Sie beschäftigen sich mit Dingen, die sie interessieren und veröffentlichen was sie finden, manchmal auch auf die Gefahr hin, dass andere Menschen mit weniger ethischen Motiven dieses Wissen für fragwürdige Aktionen nutzen — denn nur das bietet allen Betroffenen die Möglichkeit, entsprechend zu handeln. Als Techniker versuchen sie technische Probleme zu lösen und stossen dabei oft (und immer öfter) auf gesellschaftliche Probleme, die oft (und immer öfter) durch verpeilte, verblendete, korrupte oder zumindest verführte Politiker überhaupt erst entstanden sind oder sich grade in verschiedenen Beratungs- und Planungsstadien befinden.

Diese Ethik kann ich, mit Verlaub, bei den allermeisten Polikern nicht finden. Politiker sind ja nicht einmal bereit, sich selbst zu verpflichten, nach ihrem Ausscheiden aus der Politik nicht in der privaten Wirtschaft die Vorteile auszunutzen, die sie durch ihr Insiderwissen erworben haben. Oder ihre Einkommen durch Beraterverträge zu offenbaren. Es sind übrigens Politiker, die Anweisungen geben, Menschen in Foltergefängnissen verrotten zu lassen und Menschen an bekanntermassen folternde Nationen auszuliefern oder zumindest wegschauen (und ich kann mich an keinen Fall erinnern, in dem solche Vorgänge durch Hacker initiiert wurden). Es sind natürlich auch Politiker, die darüber entscheiden, Länder und Städte bombardieren zu lassen, deren Namen sie nicht mal richtig aussprechen können. Und es sind auch Politiker, die darüber entscheiden, Technologien einzusetzen, die nicht beherrschbar sind, tun aber so, als würden sie verstehen wovon sie reden. Ich kenne übrigens auch keinen Fall, in dem überhaupt durch Hacker oder einen Hack irgendwer zu Tode kam oder auch nur verletzt wurde.

In diesem Fall redet ein Politikwissenschaftler und ehemaliger Angestellter bei der Wirtschaftsvereinigung Stahl, dessen technische Expertise wohl kaum dazu angetan ist, auch nur einen einzigen Satz zum Thema “Gefahren durch Computertechnik” fallen zu lassen.

Solange wir zulassen, dass uns solche Leute terroristische Tendenzen vorwerfen und dies als Argument für mehr Überwachung und massive Einschränkung unserer Rechte herhalten muss, werden wir wohl damit leben müssen, eines Tages als Shellbenutzer wegen unerlaubten Waffenbesitz ranzukommen.

[ via [Netzpolitik][netzpolitik] ]

[netzpolitik]: http://netzpolitik.org/2007/bundesregierung-hacker-sind-so-gefaehrlich-wie-bombenleger/
[Rachel]: http://www.abgeordnetenwatch.de/thomas_rachel-650-5896.html

---

MOAB

Sweetmorn, 21st Chaos, 3173.

Die Initiatoren des [Month of Apple Bugs][MOAB], [LMH][LMH] und [KF][KF], haben [angekündigt][Ankündigung], dass sie vorraussichtlich das Projekt über das Ende des Monats hinaus ausdehnen werden, da sie wesentlich mehr Apple-spezifische Fehler gefunden haben als innerhalb der geplanten Zeit veröffentlicht werden können. Ihr Ziel ist, zu jedem gefundenem Fehler einen PoC zu liefern, was natürlich Zeit kostet.

Auch wenn die bisher gefundenen Fehler die meisten Apple Fanboys als enttäuschend in sofern finden, als das der ganz grosse Knaller fehlt, so muss ich sagen, mir gefallen die Sachen gut und ich kann damit meinen Spass haben. Aber es kommen ja auch noch ein paar interessante Sachen.

[MOAB]: http://projects.info-pull.com/moab/
[LMH]: http://blog.info-pull.com/
[KF]: http://www.digitalmunition.com/
[Ankündigung]: http://applefun.blogspot.com/2007/01/moab-19-01-2007-transmitapp-ftps-url.html

---

Festnahme von Telecom Italia Mitarbeitern

Sweetmorn, 21st Chaos, 3173.

[Fabio Ghioni][fabio at 22c3], ehemals Security CTO der Telecom Italia, ist zusammen mit seinem Assistenten Rocco Lucia und dem ehemaligen Journalisten Guglielmo Sasinini in Mailand festgenommen worden. Ihnen wird u.a. vorgeworfen, mit Hilfe eines Tiger Teams einen TI-Konkurrenten ausspioniert und dessen Notebook gehackt zu haben.

Einem Überblick über den ganzen Fall gibt es bei [Infoworld][infoworld].

[fabio at 22c3]: http://events.ccc.de/congress/2005/fahrplan/speakers/588.en.html
[infoworld]: http://www.infoworld.com/article/07/01/19/HNitaliaespionage_1.html

---

Defacements

Prickle-Prickle, 19th Chaos, 3173.

Ich muss Peter widersprechen, wenn er in seinem Artikel [Hacker 3.0][Hacker 3.0] im [Blog der Technology Review][Technology Review] schreibt:

[…]
“Defacements” - Webseiten zu verunstalten - gehört heute, folgt man der Publikumspresse, zum kleinen Einmaleins des Hackens. Was gern als dramatische Attacke dargestellt wird, erfordert allerdings kaum Können, und gefährlich ist es auch nicht besonders. Peinlich für den Systembetreiber bleibt es allemal.
[…]

Je nach Art des Defacements kann man eben oftmals nicht genau sagen, wie “gefährlich” ein Defacement war. Ein Defacement ist erstmal ein Vorkommnis, bei dem ein Einbruch stattfand, also eine Lücke im System vorhanden war, die ausgenutzt wurde. Wie ein System penetriert wurde ist aber nicht immer und in jedem Fall nachzuvollziehen, und noch viel weniger, was ein Angreifer dann weiter mit dem geöffneten System angestellt hat. Wenn also ein Opfer eines Defacements sagt “Daten waren nicht in Gefahr”, so ist dies in vielen Fällen eher Wunsch oder der Versuch der PR-mässigen Schadensbegrenzung. Denn wie weit ein Angreifer ins System vorgedrungen ist weiss wohl meistens der Angreifer wesentlich besser als der Angegriffene.

Fakt ist jedenfalls, dass echte\* Defacements von Webseiten zu den wenigen, öffentlich sichtbaren Hinweisen gehört, die eine Sicherheitsschwankung bei einem Betreiber offensichtlich machen und schwer bis gar nicht unter den Teppich gekehrt werden können wie dies nur allzu oft bei allen möglichen Vorfällen passiert.

Ich denke, dass man Defacements nicht in jedem Fall so verniedlichen kann.

\*) “Echt” meint in diesem Fall kein XSS oder ähnliche clientseitige Attacken, sondern der Austausch von Dateien auf dem Server, das entfernte Ausführen von Code im Kontext des Servers oder das DNS-mässige Umlenken auf einen anderen Host.

[via [Tim][Tim]]

[Technology Review]: http://www.heise.de/tr/
[Hacker 3.0]: http://www.heise.de/tr/blog/artikel/83649/
[Tim]: http://tim.geekheim.de/2007/01/19/hacker-30/

---

Weblogins

Boomtime, 17th Chaos, 3173.

Einige Leute wie z.B. [Bruce Schneier][schneier] oder [Brian Krebs][krebs] haben sich ja schon mit [gephishten MySpace-Passwörtern][myspacepw] auseinander gesetzt. Aber neben dem, wie die Passwörter gestrickt sind, ist ein andere Frage fast noch viel interessanter wie ich finde, nämlich die, wie diese Passwörter konkret benutzt werden. So manches Beispiel der jüngeren Vergangenheit, auch im Chaosumfeld, zeigt, dass Menschen manchmal dazu zu neigen scheinen, Passwörter, die sie bei einem Dienst im Web einsetzen, auch bei anderen zu benutzen.

Bei den 56.000 ist zwar ‘ne Menge Ausschuss dabei, weil einige das Phishing als solches verstanden haben. Aber bei einer wie ich finde erstaunlichen Anzahl von getesteten User/Passwort-Kombinationen handelt es sich um die realen Zugangsdaten der entsprechenden Mailaccounts. Und was man dann dort an neuen Logins finden kann muss man wohl niemandem wirklich erzählen. Stichproben haben dann eben auch ergeben, dass die entsprechenden Leute tatsächlich vollkommen andere Dienste mit genau diesen Passwörten nutzen. Das erklärt (mir zumindest), warum Phishing, auch wenn es erstmal vielleicht keine Pins abzugreifen gibt, trotzdem so ein spassiges und weit verbreitetes Hobby darzustellen scheint.

Ist sicher keine heiße News, aber ich bin dann doch irgendwie überrascht, weil es viel weniger die Ausnahme ist als ich gedacht hätte. Ist das Ignoranz, Zeichen der allgemeinen Demenz oder einfach nur Dummheit?

[schneier]: http://www.schneier.com/blog/archives/2006/12/realworld_passw.html
[krebs]: http://blog.washingtonpost.com/securityfix/2007/01/myspace_phishers_hook_hundreds.html
[myspacepw]: http://fukami.vakuum.net/archives/2007/01/16/myspace-passwoerter/

---

MySpace Passwörter

Sweetmorn, 16th Chaos, 3173.

Über die Mailingliste [Full Disclosure][fd] wurden gestern über 56.000 Passwörter von MySpace [gepostet][post], die über [marcolano.com][marcolano.com] gephist wurden. Wahrscheinlich wurde die Leute über den Link auf einen Profile-Editor auf die Seite gelenkt (siehe entsprechende [MySpace-Seite im Google Cache][myspace page]).

Dabei fällt mir wieder mal auf, wie kotzhässlich diese MySpace-Seiten sind, und ehrlich gesagt verstehe ich es auch nicht. Was soll das eigentlich genau sein (ausser vielleicht einem der Müllplatze, der klar macht, dass dieses Web von dem alle reden nur eine temporäre Erscheinung ist)?

Direkter Link auf das Archiv: [http://archives.neohapsis.com/archives/fulldisclosure/2007-01/att-0282/myspace1.txt.bz2][archiv]

[fd]: https://lists.grok.org.uk/mailman/listinfo/full-disclosure
[post]: http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0282.html
[archiv]: http://archives.neohapsis.com/archives/fulldisclosure/2007-01/att-0282/myspace1.txt.bz2
[marcolano.com]: http://64.233.183.104/search?q=cache:u2RtwlpBqFcJ:www.marcolano.com/login/+inurl:marcolano&hl=en&gl=uk&ct=clnk&cd=2
[myspace page]:http://64.233.183.104/search?q=cache:AT_1eXGvYf8J:profile.myspace.com/index.cfm%3Ffuseaction%3Duser.viewprofile%26friendID%3D19262067+marc+olano+editor+myspace&hl=en&gl=uk&ct=clnk&cd=1

---

Universal XSS mit Acrobat Plugin

Pungenday, 3rd Chaos, 3173.

[Stefano Di Paola][Stefano] und [Giorgio Fedon][Georgio] haben auf ihrem 23C3 Talk [Subverting AJAX][23C3 Talk] auf eine echt niedliche Lücke im Adobe Acrobat Plugin <= 8 hingewiesen, durch das es möglich ist, jede Seite, die ein PDF hostet grundsätzlich mit einem XSS zu versehen. Dabei sieht ein Link auf ein PDF beispielsweise so aus:

http://site.tld/file.pdf#FDF=javascript:alert(’Universal XSS’)

Damit eröffnen sich eine Unmenge Möglichkeiten für interessante Angriffe, da sehr viele Seiten bieten PDFs zum Download an. Ich bin ja mal auf den ersten AJAX-Wurm gespannt, der sich dieses Problems annimmt, denn so einfach wird es wohl so schnell nicht wieder werden.

Diese und weitere Infos zum Beispiel zu Prototype Hijacking findet man in dem [Paper][Paper] der Beiden für die 23C3-Proceedings (natürlich als PDF, hehehe), das Advisory zum UXSS in Acrobat Plugin bei [The Wise Security][wisec].

[23C3 Talk]: http://events.ccc.de/congress/2006/Fahrplan/events/1602.en.html
[Stefano]: http://events.ccc.de/congress/2006/Fahrplan/speakers/1155.en.html
[Georgio]: http://events.ccc.de/congress/2006/Fahrplan/speakers/1152.en.html
[Paper]: http://events.ccc.de/congress/2006/Fahrplan/attachments/1158-Subverting_Ajax.pdf
[wisec]: http://www.wisec.it/vulns.php?page=9

---



"You can tell a lot about a fellow's character by his way of eating jellybeans." - Ronald Reagan

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.099 seconds.