Ich fahre grade zurück von der achten Auflage der Gulaschprogrammiernacht in Karlsruhe. War wie immer eine tolle Veranstaltung. Die neue Location in der HfG (Hochschule der Gestaltung am ZKM) ist sehr reizvoll für derlei Veranstaltungen. Und die Generalbundesanwaltschaft direkt vor der Tür hatte irgendwie noch einen ganz besonderen Reiz.

Der Vortrag von BeF und mir war weniger der Rant, den wir eigentlich vorgehabt haben, sondern eher ein klassischer Websicherheitsvortrag. Scheint aber den meisten Leuten trotzdem ganz gut gefallen zu haben. Leider habe ich aber ob der vielen Diskussion keine anderen Vorträge mitbekommen.

Jedenfalls hat sich für mich wieder mal bestätigt, dass die GPN eine der coolsten Nerdveranstaltungen ist.

Da es in Bonn nicht so ganz einfach ist, geeignete, nicht-kommerzielle Orte zu finden wo man sich zwanglos treffen kann, findet bei schönem Wetter am Montag, den 29. Juni 2009 ab 19 Uhr ein Piratengrillen am Beueler Rheinufer statt. Eingeladen sind alle Leute aus Bonn und Umgebung, die sich für die Piraten und deren Ziele interessieren. Willkommen sind selbstverständlich auch Nicht-Mitglied der Piratenpartei. Grillgut und Getränke sind selbst mitzubringen.

Rückmeldungen per Twitter oder in den Kommentaren wären schön, um abschätzen zu können, mit wie viel Leuten ungefähr zu rechnen ist.

We just published the so-called “Fahrplan” for 25C3. Take a look.

Next week I will stay in Vienna to join Deepsec. Last year the conference was just amazing and I’m also looking forward to visit Metalab, one of my favorite hacker spaces. BeF and me will have a talk about ActionScript 3 obfuscation/de-obfuscation and other fun stuff with byte code. BeF released a new version of erlswf which is capable of disassembling AS3 and returning this disassembly as JSON. If you are interesting in those things you should check it out. BeF will hopefully blog about erlswf in detail (hinthint :)

During the last weeks I was one of the persons who looked through all the submissions (nearly 300!) for the 25C3. I was also involved into the decisions what talks will take place. I won’t tell much, but I think it will be interesting and much more focussed on technical topics rather than meta-blabla like the last years. BeF and me are going to speak about Flash stuff at 25C3 as well and we will also release a paper for the conference proceedings.

In November I will be at OWASP Germany 2008 in Frankfurt and talk about RIA security. I’m still not 100% sure what I will exactly talk about, but I think I will focus on difficulties one has to face when auditing complex RIA applications. Most people already know that I’m not a big fan of OWASP since it’s much to much vendor centric in my point of view (but, well, I don’t like to start a big rant here right now). Anyways, I’m looking forward to meet Alexios from n.runs and Martin at the conference.

Last month Stefan and me founded CGNSec. The idea is to meet security people and researchers from the Cologne/Bonn area to talk about unfinished ideas and projects as well as having some beers. Yesterday there was the second meeting and it was real fun. There were even some EZB guys from Frankfurt and we had some interesting conversations. I hope we will have some presentations from time to time, since there are quite some people with interesting stuff. I also hope that the MWCollect guys from Bonn are joining us next time.

Some personal notes: I got engaged with my girlfriend. Since she’ll go to Hamburg beginning of next year to join Henri Nannen Journalist School I will probably leave the Rhineland in between the next two years (well, not before she will finish). I really feel sad somehow, since I feel home here. But after her studies she will probably not coming back, so I will follow her sooner or later.

I joined a carnival society some months ago called “Beueler Stadtsoldaten”. The Rhenish Carneval is starting in a couple of days and I will have quite a couple of events where I will do some dancing (nothing to complicate really) - and I’m thinking about starting a blog or Soup where I like write about some experiences, post some photos and tell about all the dirty little things happen there. I will probably announce it using my Twitter account.

Last but not least a little advertising: End of November the book of Mario Heiderich, Christian Matthies, Johannes Dahse and me will be published by Galileo Press. It’s in German and it calls “Sichere Webanwendungen” (secure web applications). I was only responsible for everything related to Flash, so most of the work was done by the others. The nice thing is that it will be published only using my nick, not my real name :)

The next couple of weeks I’m going to speak at some interesting and completely different events. Next week I will be at re:publica in Berlin doing a tunneling workshop. Last year there was a screen at the entrance of re:publica showing the output of dnsniff. Some people got very pissed because of their passwords turning up in full HD quality. So Markus had the idea of this workshop and asked to do that in order to give the attendees a possibility to protect themself. The re:publica is going to be very big this year (800 attendees all together as far as I know) and a lot of old friends will show up I haven’t seen in a while.

The next event I’m going to visit is Bluehat v7 in Seattle. I’ve never been to the States before, so I’m really excited going there - especially because Microsoft is the reason which I still find very weird. I’ll give a presentation together with Manuel Caballero about Silverlight and how it compares to Adobe Flash security-wise. Only a few of the speakers of Bluehat are already known to me. Beside Lieutenant Dan and kuza55 I’m looking forward to got to know Sowhat. We tried to invite him to one of the past Chaos Communication Congresses but it was far more complicate than we thought because of problems with the visa. I’m also looking forward to got to know Billy Rios. I guess he and Nitesh will talk about Phishing.

In May I’ll be at PH-Neutral and give a presentation together with BeF entitled “SWF and the Malware Tragedy”. The talk is about static analysis of SWF bytecode and we hopefully have some more time to look into less known SWF bytecode obfuscation techniques. BeF and me also wrote a paper with the same title which is mainly about using Erlang programming language based erlswf for SWF bytecode analysis.

This week my workmate Stefan and me are going to join Deepsec, an “in-depth security conference” in Vienna. Deepsec looks very promising to me since there are a lot of talks I like to attend to, like the talks from Halvar Flake, Dave Aitel, Martin Johns, Alexander Kornbrust, David Litchfield or from Melanie Rieback. I will also give a talk, once again on Adobe Flash Security.

Beside the conference there will be another nice great event in Vienna called Roböxotica, a festival for cocktail robotics. I am also looking forward to visit Metalab and meet some friends.

Last but not least we will visit Figlmüller to eat Wiener Schnitzel :)

I just want to remind you guys to submit your lecture puroposal for the upcoming 24C3 in between the next 3 days :)

The Chaos Commnunication Camp is over, so it’s time to announce the Call for Participation of the 24th Chaos Communication Congress 2007 (24C3). The Chaos Communication Congress is the annual four-day conference organized by the Chaos Computer Club (CCC) and taking place in Berlin, Germany. The 24C3s slogan is Volldampf voraus! _– the German equivalent of “full steam ahead” – a particular request for talks and projects featuring forward looking hands-on topics. The Chaos Computer Club has always encouraged creative and unorthodox interaction with technology and society, in the good tradition of the real meaning of “hacking”.

This years congress introduces a new category for talks called “Making”. This category is all about making and breaking things and the wonderful stuff you can build in your basement or garage. Most welcome are submissions dealing with the latest in electronics, 3D-fabbing, climate-change survival technology, robots and drones, steam machines, alternative transportation tools and guerilla-style knitting.

As always, the date of this event is December 27th to 30th.

This weekend the first DevHouse in Germany happened in Cologne. The idea behind is a bit like BarCamp, but the main difference is the strong focus on development and security. The host for this event was people interactive. This company draw some attention by winning a Multimedia Award this year for an impressive interactive tablet made for T-Com. I personally gave two presentation, one about Flash Security Basics, one about Performance Testing using DTrace.

The only session where I personally learned something new was during a talk called “Flash without Flash” from David Neu. Since he’s using Flash in a professional production workflow without Adobes IDE it was interesting for me to see how those Open Source Flash tools are used from a developers perspective. I had an insightful talk with him afterwards about the direction the player/plugin will evolve. He also showed me a couple of things he has done with his company (people interactive) in the past and showed me a funny buffer overflow in a piece of popular ATM hardware.

All in all I liked the event pretty much. It was a bit chaotic and sometimes a bit noisy during the sessions. Nonetheless I found it much more fun than the usual BarCamps where it’s more about VC bull crap than interesting developments and methodologies.

An diesem Wochenende, dem 5. und 6. Mai, findet in Dresden zum mittlerweile vierten Mal das Datenschutz- und Bürgerrechts-Symposium Datenspuren statt. Ein Fahrplan ist mittlerweile online, und ich werde dort auch einen Vortrag halten zur Idee der Einführung einer Informationspflicht bei Datenpannen deutscher Unternehmen und Behörden, über die ich vor einiger Zeit hier geschrieben habe.

Noch was: Falls es noch jemanden gibt, der per Auto nach Dresden fährt, bitte melden. Ich selbst werde zwar fliegen (Dank an a8 noch mal!), aber es gibt jemanden vom C4, der auch gerne mitkommen würde und noch eine MfG sucht.

Der Entropia hat einen CfG (Call for Gulasch) für die GPN6 veröffentlicht. Die GPN wird wie immer an der HS Karlsruhe stattfinden und ist diesmal vom 1. bis 3. Juni terminiert.

Endlich wieder ein Lichtblick im drögen Alltag :)

Auch die FrOSCon hat einen Call for Participation für die zweite Ausgabe ihrer Veranstaltung veröffentlicht. Die FrOSCon ist ein zweitägiges Event mit dem Themenschwerpunkt Freie und Open Source Software und findet am 25. und 26. August an der Fachhochschule Bonn-Rhein-Sieg in Sankt Augustin bei Bonn statt. Letztes Jahr fand ich persönlich die Veranstaltung sehr gelungen und freue mich darauf wieder ganz besonders.

Der CfP läuft übrigens noch bis zum 4. Juni 2007, und die Einreichung von Vorträgen und Workshops kann unter cfp.froscon.org erfolgen. Als Software dafür kommt, wie sollte es anders sein, Pentabarf zum Einsatz :-)

Der Call for Participation für das Camp 2007 ist online. Das Camp findet dieses Jahr vom 8. bis 12. August in Finowfurt nahe Berlin statt.

Stefano Di Paola und Giorgio Fedon haben auf ihrem 23C3 Talk Subverting AJAX auf eine echt niedliche Lücke im Adobe Acrobat Plugin <= 8 hingewiesen, durch das es möglich ist, jede Seite, die ein PDF hostet grundsätzlich mit einem XSS zu versehen. Dabei sieht ein Link auf ein PDF beispielsweise so aus:

http://site.tld/file.pdf#FDF=javascript:alert(’Universal XSS’)

Damit eröffnen sich eine Unmenge Möglichkeiten für interessante Angriffe, da sehr viele Seiten bieten PDFs zum Download an. Ich bin ja mal auf den ersten AJAX-Wurm gespannt, der sich dieses Problems annimmt, denn so einfach wird es wohl so schnell nicht wieder werden.

Diese und weitere Infos zum Beispiel zu Prototype Hijacking findet man in dem Paper der Beiden für die 23C3-Proceedings (natürlich als PDF, hehehe), das Advisory zum UXSS in Acrobat Plugin bei The Wise Security.

Cross Site Request Forgery, auch CSRF, XSRF oder Session Riding, bezeichnet einen Angriff, der eine konzeptionelle Schwäche des HTTP-Protokolls ausnutzt. Dabei werden dem Opfer Requests untergeschoben, die “normale” Zugriffe darstellen — also keine Code Injection ala Cross Site Scripting — mit dem Ziel, unsichtbar für das Opfer eine Aktion zu triggern. Ein schönes, harmloses Beispiel von der Wikipediaseite selbst:

http://de.wikipedia.org/w/index.php?title=Spezial:Userlogout

Dieser Request wird z.B. in einen Image Tag gepackt. Der Browser des Opfers, der eine Seite mit eben jener Bildreferenz lädt, führt einen Request mit den entsprechenden Credentials aus, da er vorher nicht wissen kann, dass sich hinter der Referenz zu dem Bild gar keins befindet.

Mit dieser Art von Angriff war es beispielsweise damals möglich, bei Plazes Freunde zu machen, in dem ein Bild mit entsprechendem Verweis eingebaut und Leuten per RSS untergeschoben wurde (siehe Eintrag Finding friends on teh intarweb). Bislang war es ohne weiteres nicht möglich, auf Clientseite viel dagegen zu tun, sondern man musste sich auf eine durchdachte Programmierung auf Anbieterseite verlassen.

Justus Winter und Martin Johns haben vor einiger Zeit das lesenswerte Paper Client Side Protection against Session Riding zum Thema verfasst und dort einen Proxy angekündigt, der dieser Tage veröffentlicht wurde. Request Rodeo, so der Name des Proxies, ist in Python geschrieben, setzt SQLite, Twisted und OpenSSL voraus und ist aus meiner allerersten Sicht schon gut zu benutzen. Request Rodeo strippt Credentials und Cookies aus Requests, die dort nix verloren haben und kann sowohl mit HTTP als auch HTTPS umgehen. Er hat bisher aber scheinbar noch Schwierigkeiten bei GZIP-komprimierten HTTP-Requests (Justus drückt sich einem Kommentar im README zufolge bisher wohl darum =)

Martin erwähnte Mitte des Jahres, dass zudem ein Plugin für Firefox geplant sei. Allerdings weiss ich nicht, ob der Plan noch steht.

Die beiden sind übrigens auf dem 23C3 mit dem Vortrag On XSRF and why you should care vertreten, in dem sie in aller Ausführlichkeit auf dieses Problem eingehen werden.