The Turkey Curse
fukamis terror chatroom

202c im Bundestag

Setting Orange, 72nd Discord, 3173.

Via [fh][fh]:

…wenn die Clubdelegation, die die Verabschiedung der 202c Novelle im Bundestag beobachten will, von sechs Sicherheitsbediensteten des Bundestags (mit Knopf im Ohr und Videokamera) sowie zwei netten Herren in Polizeiweste betreut wird, könnte man das auch so sehen, dass sie uns nicht unbedingt für einen untätigen Haufen halten, der sich alles gefallen lässt. So gesehen dann also nicht 1984, sondern ein Kompliment. Auch wenn das alles wesentlich freundlicher hätte ausfallen können - wir waren immerhin relativ brav.

Doh!

Ein Interview mit [Andreas][andreas] zum Thema gibt es bei [Netzpolitik][netzpolitik].

[fh]: http://fholzhauer.de/b/index.php/archives/2007/05/25/from-bundestag-with-love/
[andreas]: http://www.andreas.org/blog/
[netzpolitik]: http://netzpolitik.org/2007/netzpolitik-interview-zur-verschaerfung-der-hackerparagraphen/

---

CSRF, die X-te

Pungenday, 70th Discord, 3173.

Durch einen [Eintrag][eintrag] im [Blog von Ronald van den Heetkamp][blog] ist mir einmal mehr klar geworden, daß die meisten Leute [CSRF-Probleme][csrf] total unterschätzen. Während CSRF-Logouts in den allermeisten Fällen eher einfach nur ärgerlich sind, gibt es wesentlich fiesere Beispiele. Ronald postet in seinem Blog beispielsweise ein CSRF, das es echt in sich hat wie ich finde. Damit kann man einen Google AdSense-Account übernehmen (die Bestätigung wird an die neue Adresse gesendet):

[script src=&https://www.google.com/accounts/UpdateEmail?service=adsense&Email=mymail@newmail.net&Passwd=cool&save=][/script]

Scary.

Ein anderes schönes Beispiel demonstriere ich jetzt mal “in echt”:

Wie sie sehen sehen sie nix. Das “Bild”, das da nicht gefunden wird, ist ein Link auf eine Google-Suche:

[img src=”http://www.google.de/search?q=dussmann” height=100 width=100 border=1 /]

Warum das ein Problem darstellen sollte? Nun, [Telepolis][tp] (und ein Haufen anderer Ressourcen) berichten über Hausdurchsuchungen bei Leuten, die nach dem Begriff “Dussmann” gegoogelt haben. Man braucht nur wenig Phantasie um sich auch andere Begriffe vorzustellen, nach denen man User bei einem Besuch der Seite in einer Suchmaschine der Wahl automatisch suchen lassen kann.

Bei der Gelegenheit fällt mir wieder eine Geschichte ein, die mir Roberto von Zone-H erzählt hat. In Italien gibt es, genau wie in Deutschland, das Glücksspielspielmonopol des Staates. Dazu gibt es ein Gesetz, das den Besuch von Online-Glückspielseiten verbietet, die nicht unter der Aufsicht der entsprechenden italienischen Behörde sind und die Provider dazu verpflichtet, einen Request auf eine solche Seite vollautomatisch an die Steuerbehörden zu melden (dazu musste die Telecom Italia rund 400 Millionen Euro aufwenden). Auch hier gehört nur wenig dazu, beispielsweise Konkurrenten, von denen man oftmals weiß aus welchen Netz sie kommen, dazu zu bringen, eine solche Seite über diesen Trick aufzurufen und ihnen die Steuerbehörde auf den Hals zu hetzen.

Jedenfalls bin ich mir sicher, daß wir noch ewig mit derlei Problemen werden leben müssen. Als Schutz auf Client-Seite bleibt wohl nur sowas wie [Request Rodeo][request rodeo].

Ryan Cartner hat bei Ronald übrigens eine [CSRF dork database][csrf-dork] eingerichtet, in der man solche Sachen zukünftig sammeln kann.

[eintrag]: http://www.0×000000.com/?i=309
[blog]: http://www.0×000000.com/
[tp]: http://www.heise.de/tp/r4/artikel/25/25318/1.html
[csrf]: http://de.wikipedia.org/wiki/CSRF
[csrf-dork]: http://csrf.0×000000.com/
[request rodeo]: http://www.nongnu.org/requestrodeo/

---

Phishing mit Google

Sweetmorn, 68th Discord, 3173.

[Nion][nion] hat was schönes endeckt, mit dem man einmal mehr per Google phishen kann:

[Click me][phish]

[nion]: http://nion.modprobe.de/blog/archives/554-phishing-with-google-again.html
[phish]: http://www.google.com/pagead/iclk?sa=l&ai=Br3ycNQz5Q-fXBJGSiQLU0eDSAueHkArnhtWZAu-FmQWgjlkQAxgFKAg4AEDKEUiFOVD-4r2f-P____8BoAGyqor_A8gBAZUCCapCCqkCxU7NLQH0sz4&num=5&adurl=%68%74%74%70%3A%2F%2F%65%76%31%6C%2E%66%2D%34%35%31%2E%6E%65%74%2F

---

Testing Flash Applications

Setting Orange, 67th Discord, 3173.

Nachdem ich nach den Datenspuren in Dresden nicht so richtige die Nerven hatte auf dem Webmontag in Köln meinen Vortrag über Flash Cross Domain XHR zu halten und einige eher spassige Exploits für Twitter und anderen “Web2.0″-Foobar zu zeigen, ist mir der Link auf die Präsentation Testing Flash Applications (als [PDF][pdf] oder [SWF][swf]) auf der [OWASP AppSec Conference][owasp] in Italien von [Stefano Di Paola][wisec] in die Finger gefallen.

Neben einer Übersicht über Flash-Internals und das Action Script-Security-Model zeigt er eine Reihe guter Ansätze, wie man schlecht programmierte Flashanwendungen zu allerlei lustigen Sachen missbrauchen kann. Einige Sachen wie das asfunction Pseudo-Protokoll sowie der Eigenart des Flash-Plugins, die gesamte Query zu parsen (also inklusive dem Fragment nach dem #-Zeichen), waren mir neu. Stefano nennt den Vector, den er in seiner Präsentation beschreibt, XSF (für Cross Site Flashing). Bei der Gelegenheit bin ich auch gleich noch mal über Martins und Kanatokos Finding zum nichtexistenten DNS-Pinning von Flash gestolpert, das mir so nicht klar war (siehe [Anti DNS-pinning revisited][anti dns pinning] bzw. [Kanatokos Posting bei sla.ckers.org][slackers] sowie die [Anti-DNS Pinning/Socket in Flash][demo]).

Flash wurde bislang noch nicht so unter die Lupe wie sich das gehört. Langsam ändert sich dieser Zustand aber glücklicherweise — es gibt mittlerweile Tools, mit denen man einiges anfangen kann, wie den Compiler [mtasc][mtasc], den Decompiler [Flare][flare] oder den Disassembler [Flasm][flasm]. Und die entsprechenden Exploits, die dabei rauskommen, haben es in sich wie ich finde.

[pdf]: http://www.wisec.it/docs.php?id=5
[swf]: http://www.wisec.it/docs.php?id=6
[owasp]: http://www.owasp.org/index.php/6th_OWASP_AppSec_Conference_-_Italy_2007
[wisec]: http://www.wisec.it/
[anti dns pinning]: http://shampoo.antville.org/stories/1548035/
[slackers]: http://sla.ckers.org/forum/read.php?6,4511#msg-6253
[demo]: http://www.jumperz.net/index.php?i=2&a=1&b=8
[flare]: http://www.nowrap.de/flare.html
[mtasc]: http://www.mtasc.org/>
[flasm]: http://flasm.sourceforge.net/

---

robots.txt

Setting Orange, 57th Discord, 3173.

[Blogcensus][blogcensus] von [Jens][jens] und [Dirk][dirk] sollte sich (genau wie Dirks [Blogscout][blogscout]) um die Beachtung der robots.txt scheren und einen aussagekäfigen Useragent wählen, so wie das alle zivilisierten automatischen Spider tun.

Zugriffe von 213.239.194.59 (2007): 831
Zugriffe auf die robots.txt: 0

Und die Useragents “SimplePie” und “MagpieRSS” sind nicht eben die Art, wie sich derlei Software identifizieren sollte finde ich. Ansonsten wünsche ich den beiden natürlich viel Erfolg.

[jens]: http://www.popkulturjunkie.de/
[dirk]: http://www.olbertz.de/
[blogcensus]: http://www.blogcensus.de/
[blogscout]: http://www.blogscout.de/

---

Interview: “Phishing Social Networking Sites”

Prickle-Prickle, 56th Discord, 3173.

Bei [ha.ckers][ha.ckers.org] gibt es ein sehr interessantes Interview mit einem 18jährigen Phisher. Der Phisher erklärt, wie er Geld mit dem Diebstahl von Identitäten in Social Networks verdient.

How do you monetize the identities and how much does that net you?
Social networking sites, Make me $500 to 1k through CPA deals. 5 times out of 10 the person uses the same password for their email account. Now depending what is inside their email inbox determines how much more profit I make. If an email account has one of the following paypal/egold/rapidshare/ebay accounts even the email account itself, I sell those to scammers. All in all, I make 3k to 4k a day. I only pish 3-4 days a week. Depends on how much time I invest, The more time I invest the greater the outcome.

Und zum Thema wem der Phisher sein Business verdankt:

Anything else you’d like to share/last words?
Lazy web developers are the reason I’m still around pishing.

[ha.ckers.org]:http://ha.ckers.org/blog/20070508/phishing-social-networking-sites/

---

BloXSS

Boomtime, 54th Discord, 3173.

Manchmal fragt man sich ja schon, warum [solche Probleme][bloxss] nicht schon seit Jahren bekannt sind.

[bloxss]: http://verfaschungsschutzbericht0×73.verfaschungsschutz.de/

---

Datenspuren in Dresden

Boomtime, 49th Discord, 3173.
Events fukami 81445 1 Comment | Trackback URI

An diesem Wochenende, dem 5. und 6. Mai, findet in Dresden zum mittlerweile vierten Mal das Datenschutz- und Bürgerrechts-Symposium [Datenspuren][ds07] statt. Ein [Fahrplan][fahrplan] ist mittlerweile online, und ich werde dort auch einen Vortrag halten zur Idee der Einführung einer [Informationspflicht bei Datenpannen][datenpannen] deutscher Unternehmen und Behörden, über die ich vor einiger Zeit hier [geschrieben][artikel hier] habe.

Noch was: Falls es noch jemanden gibt, der per Auto nach Dresden fährt, bitte melden. Ich selbst werde zwar fliegen (Dank an a8 noch mal!), aber es gibt jemanden vom [C4][c4], der auch gerne mitkommen würde und noch eine MfG sucht.

[ds07]: http://datenspuren.de/
[fahrplan]: http://datenspuren.de/schedule.html
[datenpannen]: http://www.datenspuren.de/fahrplan/events/1832.de.html
[c4]: https://koeln.ccc.de/
[artikel hier]: http://fukami.vakuum.net/archives/2007/02/01/informationspflicht-von-unternehmen-und-behoerden-bei-datenpannen/

---

Dilettanten am Werk, die Zweite

Boomtime, 49th Discord, 3173.

Nach Aussagen von [Peter Welchering][welchering] (Achtung, JS und Plugin-Alarm!) in einem Interview mit Manfred Kloiber im [Deutschlandfunk][dlf] haben die Geheimdienste erhebliche technische Probleme bei der Online-Durchsuchung - was wahrscheinlich auch Grund für die vorrübergehende Aussetzung der von Schily (ähm … Diwell) unterzeichneten Dienstvorschrift ist. Probleme gab es wohl mehrere, wie im Welchering im Interview feststellt:

Welchering: Nach allem, was bisher bekannt wurde, sind die Programmierer der Geheimdienste noch längst nicht so weit, dass solch ein Bundestrojaner, der dann die Festplatteninhalte via Internet an den Geheimdienst schickt, einfach per Mail oder über eine Web-Seite auf den Zielcomputer angesetzt werden kann. Das zweite Problem: Offensichtlich hat das gezielte Ausspähen von Personal Computern und Festplatten nicht funktioniert, und es hat nicht schnell genug funktioniert. In einem Fall sollen Festplatteninhalte von 120 Gigabyte über Wochen hinweg an die Zieladresse des Verfassungsschutzes von einem Trojaner geschickt worden sein. Der betroffene PC-Besitzer, der da online ausgespäht wurde, hat das wohl nach 14 oder 15 Tagen gemerkt, weil er über ausgewertete Systeminformationen mitbekam, dass 120 Megabyte von seinem Rechner aus ins Netz geschickt wurden. Die Rechneranalyse ergab dann, dass ein Trojanisches Pferd Schadsoftware von einem Rechner eines V-Mannes herunter geladen hatte. Diese Schadsoftware bestand im Wesentlichen aus einem Programm, dass einen Port im Router der überwachten beziehungsweise online durchsuchten DV-Anlage öffnete und über diesen Port Dateien an einen Rechner schickte, dessen IP-Adresse maskiert war. Dass eine solche Online-Durchsuchung dann offenbar nach Tagen, wohlgemerkt während sie noch läuft, bemerkt wird, ist nicht nur blamabel, sondern gibt natürlich auch den betroffenen Besitzern durchsuchter PCs Möglichkeiten der Gegenwehr an die Hand. In einem anderen Fall hat der Besitzer eines online durchsuchten PCs unbestätigten Informationen zufolge den Trojaner gleich beim Einschleusen bemerkt, die Aktivitäten des Bundestrojaners genau analysiert und der Zieladresse dann regelrechten Datenmüll geschickt.

[…]

Kloiber: Wie sind die Trojanischen Pferde denn dann auf die Zielrechner gekommen?

Welchering: Dazu schweigt sich die Bundesregierung auch aus. Es gibt allerdings Hinweise, dass der Verfassungsschutz den Bundestrojaner bisher auf zwei Verbreitungswegen in die Zielrechner geschleust hat. Zum einen, das ist sozusagen die sichere Methode, sollen Verfassungsschutzmitarbeiter einfach in Büroräume eingedrungen sein und den Bundestrojaner dann händisch auf die Zielrechner überspielt haben. Mit dem zweiten Verbreitungsweg, von dem man aus so genannten informierten Kreisen hört, haben die Verfassungsschützer damit offensichtlich keine so guten Erfahrungen gemacht. Sie sollen mit Trojaner verseuchte CDs verteilt haben. Und das Problem dabei soll gewesen sein: Neben den Zielrechnern, die sie online durchsuchen wollten, sind auch andere Rechner mit diesem Trojaner wohl verseucht worden. Und das soll zur Folge gehabt haben, dass so viele Daten an den Zielrechner geschickt worden sind, dass der Sammelrechner, auf dem die ganzen Durchsuchungsdaten landen sollten, sich offensichtlich wie bei einem Denial of Servcie Angriff verhalten hat. Das heißt, ob der vielen Daten soll der einfach in die Knie gegangen sein.

Ich kann mich der Hoffnung nur anschliessen, dass jemand, der so ein Stück Software oder so eine CD findet, diese öffentlich zugänglich macht. Aber egal wie es weitergeht bei dieser Geschichte, ich vermute nicht, daß Schäuble oder Zierke oder wer auch immer diese Maßnahmen unter allen Umständen durchdrücken will, sich dadurch wirklich entmutigen lässt. Die werden dann wohl eher mehr Geld raufwerfen und notfalls das Grundgesetz ändern, weil sie einfach nicht kapieren, daß die Idee ein Totgeburt ist.

Dazu auch:

* [Bundestrohaner - heisse Luft von Staatscrackern][farliblog] im Farliblog
* [Liebe Besitzer eines online durchsuchten PCs…][rablog] im RA-Blog
* [Der Bundestrojaner-Einsatz funktioniert wohl nicht…][fefe] bei Fefe
* [Unfälle mit dem Bundestrojaner][isotopp] bei Kris Köhntopp

[welchering]: http://www.media01.de/
[dlf]: http://www.dradio.de/dlf/sendungen/computer/620126/
[farliblog]: http://www.farliblog.de/archives/614-Bundestrojaner-Heisse-Luft-von-Staatscrackern.html
[rablog]: http://www.ra-blog.de/1701-Liebe-Besitzer-eines-online-durchsuchten-PCs…
[fefe]: http://blog.fefe.de/
[isotopp]: http://blog.koehntopp.de/archives/1675-Unfaelle-mit-dem-Bundestrojaner.html

---



Everything is funny as long as it is happening to somebody else.

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.099 seconds.