BuntspechTs Blog

Heute war ein verrückter Tag im Laden. Früh morgens steht erstmal ein Serverschrank an, der total ungeordnet vor lauter Switches, Splitter, TK-Anlagen, Firewalls und übertrieben langen Kabeln aus den Nähten platzt. Schuld an diesem Chaos: Telekommitarbeiter, die nur auf die nächste Mittagspause warten, Symantec”spezialisten”, die ohne irgendeine Logik die Firewall in die Infrastruktur reinballern und die firmeninterne EDV-Abteilung, die es nichtmal auf die Reihe bringt, die paar Lizenzettelchen in einem auffindbaren Ordner oder Karton zu lagern, sondern einfach mal alles mit in den Schrank schmeißt.

Okay, eine Stunde später und etliche Kabelbinder weniger herrscht wieder Ordnung im Schrank. Stolz auf das Werk von meinem Chef und mir geht’s an die Installation bzw das Updaten von Kaspersky OpenSpace. “Kein Problem” denken wir uns, aber weit gefehlt. Die Mitarbeiter, die die Chefetage eh wie Unterwäsche wechselt, haben sich ganz toll gefühlt und “Profisoftware” wie Norton Antivirus installiert – wer diesem Müll kennt, weiß wie tief er sich ins System eingräbt.

Gut, auch das ist bald erledigt. Doch Moment, warum haben einige PCs keinen Internetzugriff mehr? Einige Grübelfalten später und mit gestiegenem Adrenalinspiegel wird uns klar: Norton hat in zwei von drei Installationen die MAC-Adresse bzw den entsprechenden Registryschlüssel verändert. Soweit kein Problem, aber die Herren von Symantec kamen auf die tolle Idee, einfach mal die Firewall anhand von MAC-Adressen zu konfigurieren – dass nach der Deinstallation von Norton und der Aufhebung der gefälschten MAC natürlich das Internet nicht mehr funktioniert, ist logisch…

Doch was ist das? Nach der endlich erfolgreichen Installation und Update von Kaspersky tauchen überall Virenmeldungen auf. Hmpf, ich hatte schon fast vergessen, dass Norton installiert war…ein weiterer Beweis dafür, dass ein Norton Removal Tool Pflicht auf jedem USB-Stick ist!

Wow, alles scheint erledigt zu sein. Nach drei Stunden verschwinden wir erstmal und gönnen uns was leckeres vom Bäcker.
Doch der Schein trügt: Uns ruft ein Mitarbeiter von der Firmensoftware an, der die Verwaltung auf einen externen Server schiebt. Die Außenstellen sollen mit Remote Desktop drauf zugreifen (allein bei den Gedanken daran kam mir das belegte Brötchen von vorhin wieder hoch…). Doch sein Problem: “Nichts geht! Gar nichts!”.

Okay, mit dem Idioten kann man wirklich nicht reden, er weiß nichtmal, was der Port für RDP ist. Der nächste Mitarbeiter der Softwarefirma ist kompetenter, doch am Problem ändert sich nichts: Er kann von der Außenabteilung einfach keine Remoteverbindung zum Zentralserver mit der Domain “srv03.****-alle.de” aufbauen, jedoch mit der IP-Adresse. Daraus schließen wir, dass die Firewall einen Macken haben muss oder irgendeine blöde Einstellung vorliegt. Ich fahre nochmal zur Firma, setze Port 3389 TCP auf jede Whitelist, durchforste die Settings der Firewall nach DNS-Fehlern, doch der Verdacht verhärtet sich: Die Firewall muss defekt sein.

Mein Puls steigt. Ich weiß, wie knausrig der Chef dieser Firma ist, wie wenig technisches Verständnis er hat und wie launisch er sein kann. Wenn ich ihm jetzt sage, dass die Firewall defekt ist und ein ähnliches Modell locker über 500€ liegt, dann muss ich ewig mit ihm diskutieren und darauf hab ich grad echt null Bock.
Ich gehe noch einmal mit dem Mitarbeiter der Softwarefirma alles genau durch, pinge und scanne diverse Ports und Adressbereiche im Netzwerk, er schaut per Teamviewer zu.

Gerade tippe ich in die cmd “ping srv03.****-alle.de” ein, da raunt er mir ins Ohr “Moment nein…aber…das darf nicht wahr sein…”.
Hä, Command richtig, Adresse von ihm komplett kopiert, richtiges Fenster…was hat dieser Typ?

Die aufplöppenden Fragezeichen verschwinden genauso schnell, wie sie gekommen sind: Der – man kann es nicht anders bezeichnen – Trottel hat tatsächlich die ganze Zeit  ‘****-alle.de’ benutzt, obwohl der Server ‘****-allee.de’ lautet. Dass da eine Verbindung per Domain nicht hinhaut, ist selbstverständlich…

Nun, und was lernen wir daraus? Fachpersonal ist oft dümmer, als man eigentlich glauben mag. Man vertraut alle seine Daten einem Menschen an, der seine Arbeit nur mit halbem Auge erledigt, aber darf trotzdem die ganze Rechnung zahlen. Solange es sich um einen simplen DSL-Anschluss handelt, soll das ja noch einfach nur ärgerlich sein, doch wenn es um eine Firma geht, der jede Minute ohne Internetanbindung massenhaft Geld flöten geht, hört der Spaß auf.

Gerade bin ich auf heise auf einen interessanten Artikel gestoßen: heise.de

Rahmenhandlung: Ein Reverse Engineer hat in der bekannten Malware Poison Ivy eine Möglichkeit zur Gegenattacke gefunden. Das Konzept basiert dabei auf einem Buffer Overflow, der dem anfänglichen Opfer ermöglichen soll, eigenen (Schad)Code in die Gegenrichtung zu schicken. Auf heise befindet sich auch der Link zu dem sehr ausführlichen und gut geschriebenen Paper von Andrzej Dereszowski.

This paper is an analysis of a common sort of targeted attack performed nowadays against many organizations. As it turns out, publicly available remote administration tools (which we usually call trojans) are frequently used to maintain control over the victim after a successful penetration. The paper does not focus on particular exploitation techniques used in these attacks. Instead, it aims to get a closer look at one of such trojans.
First chapters describe a way to figure out which trojan has been used.
The following chapters describe in brief the architecture, capabilities and techniques employed by developers of the identified trojan, including mechanisms to hide its presence in the system, and to cover its network trace. The paper presents all the techniques used to perform the analysis.
In the final chapters, a quick vulnerability analysis has been performed to show that such intruders could also be an object of an attack. . .

Ich bin gerade noch mitten am Durchlesen, aber die ersten Kapitel waren sehr interessant. Jedem, der halbwegs Begeisterung an RE findet oder sich einfach nur generell darüber informieren will, sei dieses Dokument hiermit ans Herz gelegt.

Originallink zum Paper: signal11.eu
Mirror: buntspecht.us

Solangsam überkommt mich die Carders.cc-Müdigkeit, aber da einige Menschen (nonvi o/ <3) anscheinend den Ereignissen hinterherhumpeln, hier das obligatorische Update:

Zuersteinmal ist es recht witzig zu sehen, was die Administration in ihrem Statement schreibt: nopaste
Schon der erste Absatz ist einen spontanen Lacher wert

Meiner Meinung nach ein dunkler Tag für die Szene, auch wenn sich jetzt viele schadensfroh im Keller einen ablachen.

Im Grunde geht es darum, dass die momentanen Teamleiter sich keiner Schuld bewusst sind (warum denn auch, an allem sind die Hacker, der Ex-Techadmin und George Bush schuld) und dass natürlich – wie sollte es anders sein – Carders wieder zu einstiger Stärke und Glanz aufsteigen wird *hallelulja*.
Doch dazu zitiere ich einfach nochmal die nette Message der fröhlichen Ninjas:

If you continue, you will be owned over again and rm’d twice. Also we will punch you in the face.

Wer sich das Board mal lokal aufsetzen möchte (was angeblich etwas komplizierter ist), den verweise ich hiermit zum Tasteless-Blog, mir selbst fehlt für eine solche Aktion die Motivation. Dort findet ihr auch eine nette Mail, die von einem pflichtbewussten Mitbürger an unsere Freunde und Helfer von der BKA geschickt wurde – vollkommen zurecht. Carders.cc die zweite

Vor ein paar Minuten schwappte die Nachricht auch zu mir rüber: Carders.cc, das momentan wohl größte deutschsprachige Kiddie-Carder-Forum, wurde defaced von ein paar “happy ninjas”, wie es in der Defacemessage steht (btw catz <3).

Beachtlich ist bei diesem Takedown wohl die Größe der Message, die hinterlassen wurde. Darin enthalten sind diverse Berichte über die IP-”Löschung” der User und die höchst effiziente DDoS-Abwehr, Verzeichnisstrukturen vom Server, IPs, Mails und Passwörter von Teammitgliedern und Usern sowie unfreiwillig interessante Dateien wie die Bash-History, einige Scripts, htaccess/htpasswd und so weiter.
Ein paar Grüße (und recht vage Drohungen) sind wie gewöhnlich auch dabei.

Details zur Art der Lücke sind bisher nicht bekannt, aber die Andeutung, dass ziemlich viel auf chmod 777 stand (sogar /root) beweist wohl, dass der Server nicht wirklich ein unknackbares Bollwerk war, wie so gerne gesagt wurde.

Mein Fazit ist eigentlich fast überflüssig, weil leicht zu denken: Insgesamt eine recht nette Aktion (allein schon wegen der ASCII-Cat) und absolut berechtigt. Ich habe mich nur über die Drohung bezüglich der “pseudo german underground”-Supporter gewundert…
Sehr witzig aber zu sehen, was für ein Bullshit die ganze Zeit über die angeblich so gute Sicherheit des Boards/Servers verzapft wurde. Ich war auf dem Forum nicht aktiv, sondern hab das ganze nur aus den (genialen!) Quoteboxes entnehmen können. Dennoch: N1

Nun hoffe ich doch mal auf angemessene rechtliche Konsequenzen für die Betreiber und finanziellen Unterstützer! Würde mich allerdings sehr interessieren, wie die Strafbehörden nun vorgehen bzw wie schnell. Man darf gespannt sein und sich schonmal Popcorn bereitstellen.

Ich mirrore zum Schluss mal die Dateien, wie sie vom Tasteless-Blog aufgelistet wurden:

Message:
buntspecht.us
Pastebay
Tasteless

DB-Dump:
http://www2.zippyshare.com/v/76500249/file.html
http://ul.to/dermxq (Quelle: Tasteless)
http://rapidshare.com/files/388909832/dump.sql.gz (Quelle: Tasteless, evtl down)

Okay, ich geb’s ja zu, der SE-Running Gag ist zumindest für regelmäßige #back2hack-IRCler etwas abgegriffen, aber ich könnte mich endlos darüber aufregen.
Fragezeichen im Gesicht? Ganz einfach, ich beziehe mich auf so etwas:

[B] SE Tut anonym Geld abheben [S] 20 PSC

Für Besucher diverser selbsternannter elitärer Untergrundforen ist das sicher kein besonderer Anblick, man gewöhnt sich ja an die großen Social Engineeringsektionen, die vielfältigen Tutorials und die angeblich so erfahrenen SE-Profis. Da übersieht man auch gerne mal, was Social Engineering im eigentlichen Sinne bedeutet, woher es stammt, was damit anzufangen ist und wo die Grenzen dieser kleinen Wissenschaft sind.
SE (bzw NLP/Pickup etc) ist nicht die Kunst, jemanden zu beeinflussen oder zu manipulieren. Es ist die Kunst, dies gezielt, effektiv und wissend zu tun. Denn was viele vergessen: Wenn zwei Menschen sich gegenüberstehen, beeinflusst jeder den anderen automatisch, schon allein durch seine Anwesenheit.

Was ist dann Social Engineering? Verwende ich SE, wenn ich beim Bäcker Brötchen einkaufe? Wenn ich bei der Bank einen Überweisungsträger an der Kasse abgebe? Ist es SE, wenn es jemand schafft, die Telefonnummer eines Menschen herauszufinden?
Und hier verschwimmen die Grenzen der verschiedenen Definitionen, Wissenschaften und Ansichten. Wo fängt SE an, wo hört es auf? Wo sind die Überlappungen zu NLP, Pickup etc? Ist SE mit einer Moral verbunden? Gibt es SE nur vor einem Kommunikationsmedium oder auch im Augenkontakt?

Ich will hier keine SE-Abhandlung von mir geben, sondern nur sensibilisieren für dieses diffuse Thema. Glaubt nicht alles leichtsinnig, was jemand von sich behauptet und hakt eventuell nochmal nach, wenn es um ein solches Thema geht.

Denn wie auch bei den Programmiersprachen gilt: “Ich kann gut SE” bedeutet in etwa genausoviel wie “Ich kann Perl” – nämlich gar nichts.

Vor einiger Zeit hat mir ein Mensch aus meiner Kontaktliste geschrieben, während wir im IRC eine Unterhaltung über diverse Programmiersprachen geführt haben:

[...] Welche Sprache suckt dir persönlich eigentlich nicht ? lol

Nunja, zu meiner Verteidigung muss ich sagen, dass mir recht viele Sprachen nicht sucken (sucken sucken sucken…hört sich beknackt an…). Allerdings fiel mir auf, dass mir wirklich viele Dinge einfach extrem gegen den Strich gehen, nicht nur Dinge im IT-Bereich sondern auch…eigentlich überall! Bin ich ein misanthropischer So-gut-wie-alles-Hasser?
Nach ein zwei leichten Panikattacken wurde mir allerdings klar, dass das im Grunde nichts schlimmes ist, etwas nicht zu mögen und das auch kund zu tun. Eigentlich ist es sogar richtig gut, denn Leute, die nie ihre Meinung sagen, sucken (verdammt, schon wieder -.-)! Und ja, sie tun es wirklich, denn wo kämen wir hin, wenn jeder einfach alles abnickt und immer nur mit “Joa, passt schon” oder “Okay, ist dein Ding” antwortet? Es ist doch viel übersichtlicher, wenn jeder gefälligst seine Meinung zu etwas sagt. Klar macht man sich damit auch leichter unbeliebt, aber was solls, man will doch auch nicht mit Leuten zusammenhängen, die einem nicht im geringsten gefallen. Und wie soll man etwas an sich ändern, wenn man auch nie eine klare Resonanz für sein Handeln bekommt?

Also, bitte in gewisser Weise ein bisschen mehr DieterBohlen-Niveau, jedenfalls so lange, bis man seine Meinung einfach klar gestellt hat – wer seine Meinung aber auch nicht im Nachhinein begründen kann, suckt in meinen Augen ebenfalls :P

Ich wollte irgendwie noch mehr dazu schreiben, aber zu dem Thema brauchts heute mal keinen Roman ;)

Wow, ein Blogeintrag vom BuntspechT, Wahnsinn! *jubellaolateeniekreischriesenwelle*
Es überrascht mich selbst, immerhin bin ich momentan schon ziemlich ausgelastet so mit 2 Jobs, Wohnungssuche, Back2Hack, irgendwelchen unverständlichen RL-Dingen /etc/etera.
Aber ich will euch kurz an einigen Beispielen zeigen, weshalb ich mich u.a. entschlossen habe, tatsächlich wieder was zu schreiben:

***********: auf deinem blog hat sich ncihts getan :L
*********: lalala… schreib nen blogeintrag!
@buntspecht_ Von dir hört man auch kaum noch was ;)
***********: es könnte aber ruhig maln neuer blog eintrag kommen xd
*********: und so nebenbei: schreib mal wieder was in deinen blog! denn dafür ist er da :D
@buntspecht_ erweck mal wieder deinen Blog zum Leben :-)
*********: alter bunti schreib mal wieder einen blogeintrag?

Versteht ihr? Könnt ihr euch vorstellen, wie das genervt hat? (irgendwie irgendjemanden schuldig machen – check)

Ein paar Vorteile hatte diese Inaktivität: Erstens habe ich mir einige Gedanken über andere blogähnliche Nebenprojekte gemacht (dazu evtl bald mal mehr) und zweitens habe ich eine Vielzahl neuer Leser aus dem asiatischen und russischen Bereich gewonnen. Vor allem Павликов (oder war es Шустрый?) hat sich sehr ambitioniert beteiligt – danke mein Freund, sollte ich wirklich mal Viagra brauchen, werd’ ich auf dich zurückkommen!

Okay, um Captchasystem werd ich mich wohl mal kümmern müssen, genauso wie um dieses Wordpress (irgendwie hasse ich es).
Zu allem weiterem lest ihr in den nächsten Tagen etwas. Ich kam nämlich auf die wahnsinnig tolle Idee, schonmal ein paar Blogposts offline zu verfassen und bin deswegen unabhängig von spontanen Ich-bin-aber-grad-echt-im-Stress!-Attacken! (Eigenlob einbauen – check)

Man schreibt/liest/sieht/spricht/hört sich.

Kind Regards
BuntspechT

Wer jemals ein größeres Forum geleitet, einen vielbesuchten Blog geführt oder einen Freehoster aufgebaut hat, der weiß genau, wie nervig Bots sein können. Manchmal sind sie nicht nur lästig, sondern treffen den Geldbeutel verdammt hart, etwa wenn es um One-Click-Hoster o.ä. geht.

Methoden gegen diese Nervtöter gibt es einige, die bekannteste sind jedoch Captchas in Form von kleinen Matheaufgaben, Buchstabenkombinationen, offenen Ringen und irgendwelchen Katzen. Aber wir alle wissen, dass diese Mechanismen immer wieder umgangen werden können, weshalb jeder Webmaster regelmäßig nachts schweißgebadet aus Albträumen aufschreckt und auch die Suizidrate unter Webseitenbetreibern immer weiter ansteigt.

Doch Hoffnung naht! Der User reverse_icniv-ad-odranoel hat kürzlich sein Tool “Ultimative Catcha” released, das durch eine wahnsinnig intelligente Technik besticht. Doch seht einfach selbst:

Ich weiß ja nicht, wie’s euch geht, aber ich bin hellauf begeistert!
Netter Nebeneffekt: Durch Captcha v1.50.3 wird zusätzlich das künstlerische Niveau eines Forums gehoben und interessante Kunstdiskussionen sind vorprogrammiert.

Früher hab ich innerlich immer die Krätze bekommen, wenn Verwandte und Bekannte diesen Satz gesagt haben, jetzt sage ich mir das selbst so gut wie jeden Tag: “Achje, wie die Zeit vergeht *seufz*“.

Jap, die Zeit vergeht rasend schnell, aber ich hab ja auch ein paar wirklich gute Ausreden, wieso der letzte Eintrag so lange her ist. Zum Beispiel…äääh…mhm…

Achja, Samstag wollte ich unbedingt einen Blogeintrag machen, aber easysurfer musste ja unbedingt zu nonverbals Geburtstagparty kommen. Obwohl ich die beiden eigentlich überhaupt nicht mag, war’s doch ein sehr lustiger Abend mit kulinarischen Köstlichkeiten (kleine Brötchen mit Käse) und edlen Getränken (Bier, Bowle, Saft und Sekt). Dabei wurde auch hochoffiziell beschlossen, dass solche Treffen wiederholt werden müssen, am besten auch mit anderen bekannten Hansele aus dem Umfeld.

Ansonsten gab’s die letzten Tage noch was wirklich interessantes in Sachen Security. Cheese hat auf B2H einen Workshop zum Thema Buffer Overflows angeboten, der dann so gefragt war, dass das arme Käsehäppchen gleich zwei mal seine Präsentation halten musste. Es hat sich aber meiner Meinung nach definitiv gelohnt, auf die zweite Vorstellung zu warten, denn Cheese hat es geschafft, das Thema für Unerfahrene sowie Fortgeschrittene gleichermaßen spannend zu gestalten. Weil der erste Workshop dieser Art ein recht großer Erfolg war, darf man sich sicherlich auf weitere Aktionen dieser Art freuen, die dann auch eine höhere Zuschauerzahl gleichzeitig aushalten ;)

Aber auch sonst waren die letzten Tage/Wochen kein Zuckerschlecken bei mir. Vor allem meine zwei Jobs haben mich ziemlich geschlaucht und dazu kamen dann noch abartig nervige Halsschmerzen Ende letzter Woche, die dank des Wetters auch nicht so schnell komplett weggehen. A propos Wetter: Ich will wieder Frühling/Sommer! Dieses ganze immer-in-nem-Raum-rumgammeln macht mich noch wahnsinnig und auch die harten Geeks unter euch müssen zugeben, dass so ein bisschen Sonne und natürliche Wärme im Zimmer was tolles ist :P

Und weil der letzte Post so lange her ist, gibt’s natürlich auch bei den Bloggerkollegen (die sich langsam wirklich häufen O.o) lesenswerte Neuigkeiten. So hat ZiuX einen wirklich sehr nachdenklich machenden Eintrag verfasst, der mir ziemlich gut gefallen hat.

Mhm, jetzt mir fällt gerade wirklich nichts interessantes aus den letzten 2 Wochen ein, das hier noch Platz finden könnte, außer dass ich seit kurzem in der Sidebar links unten ein paar Internetradios aufgelistet habe, die mir recht gut gefallen. Bis jetzt sind zwar nur Sender aus dem elektronischen Bereich da, aber in Kürze folgen auch ein paar Streams aus anderen Genres.

So, das war’s jetzt aber für heute wirklich, in wenigen Stunden muss ich wieder aufstehen und ich hatte morgen nicht vor, dauermüde irgendwo rumzuhängen und mich mit Kaffee vollzupumpen wie gewisse andere Menschen *hust* nazrek *hust* :D

Heute saß ich mal wieder in meinem schonmal erwähnten Lieblingsrestaurant und hatte einen Espresso der Spitzenklasse vor mir.
Wer mich kennt, weiß, dass ich oft gedankenverloren irgendein Getränk umrühre, so auch heute…

Als ich so in die mit schwarzer Flüssigkeit gefüllte Tasse schaue und sehe, wie der kleine Löffel so seine Runden kreist, wurde mir klar, dass sich das Leben im Grunde auf genau diese Tasse reduzieren lässt. Wir sind eingesperrt in ein Gefäß, das wir ohne äußere Hilfe nicht verlassen können, aus dem wir nur nach oben in die unerreichbaren Weiten schauen können. Unser Leben dreht monoton seine Kreise und irgendwann ist es kalt und verdunstet langsam.

Mal geht es hoch, dann wieder runter, mal nach links und mal nach rechts und selbst wenn wir uns spontan entscheiden, uns mal andersherum zu drehen, haben sich nach drei Umdrehungen die Wellen wieder gelegt.

Auch die anfängliche Spannung legt sich irgendwann, man gewöhnt sich an das Auf und Ab und die kleinen Wellen in der Tasse. Aber trotzdem können wir nicht aufhören mit Umrühren, wir drehen wie im Bann, ohne zu wissen, wofür eigentlich. Wir kommen immer tiefer in diesen ewigen Kreislauf, diese Spirale, diesen Teufelskreis der Monotonie, ohne uns irgendwie wehren zu können. Kein Wunder, dass wir Menschen so egoistisch, egozentrisch, negativ und depressiv sind. Eigentlich sollten wir was anderes tun, als in unserer Tasse zu hocken und uns zu drehen, eigentlich sollten wir frei sein, vor allem frei im Kopf. Stattdessen verklemmen wir immer mehr, kreisen um Probleme, die nicht aufhören können, weil sie die Existenzerechtigung unseres Lebens sind. Wir leben für die Probleme, die wir uns selbst erschaffen, damit wir leben können. Und je öfter wir umrühren, desto tiefer sind wir in diesem Bann gefangen.
Eigentlich wollen wir diese Tasse nur in die Ecke pfeffern, auf sie schimpfen, auf ihr rumtreten vor lauter Wut auf das, was sie uns angetan hat mit ihrer ewigen Monotonie, doch wir können nicht…warum? Warum können wir nicht frei sein? Warum wollen wir nicht frei sein?

Es ist ein ewiger Kreislauf, jeder Mensch in seiner ganz privaten Tasse. Und selbst wenn mal ein bisschen Zucker reinkommt – der löst sich eh irgendwann auf…

“Darf ich Ihnen noch etwas bringen?”
“Ja, einen Espresso nochmal. Danke…”