Shared posts

06 Mar 08:28

Wusstet ihr, dass der Kreml "Umweltschuetzer" be...

Wusstet ihr, dass der Kreml "Umweltschuetzer" bei uns finanziert, damit wir keine effizienten Energiequellen (Nuklear, Schiefergas) bekommen und auf ewig von russischem Gas abhaengig sind? Wuerd auch erklaeren, warum fefe so anti-Nuklear ist und trotz mieser Geschaeftszahlen von CodeBlau kein Hartz IV bezieht.
[11] Kommentare
11 Feb 22:12

Aus der beliebten Kategorie "bei UNS ist Kernkraft ...

Aus der beliebten Kategorie "bei UNS ist Kernkraft SICHER", heute: "Weitere rostige Atommüllfässer in Brunsbüttel gefunden". Und wenn sie "rostig" sagen, dann meinen sie: Die Außenhaut ist nur noch partiell vorhanden. Guckt euch mal das Foto an.
12 Feb 12:59

Die neuen Terroristen: Google-Benutzer. Der Typ hat ...

Zeckenhorst81

by by oldreader

Die neuen Terroristen: Google-Benutzer. Der Typ hat Google nach irgendwas gefragt und bekam einen Link zu einer über 7 GB an Dokumenten auf dem Webserver der französischen Behörde für Lebensmittelsicherheit, Umweltschutz und Arbeit. Völlig klar, das ist ein fieser Hacker, der muss verhaftet und angeklagt werden. Als der Richter verstand, dass die Dateien öffentlich zugänglich waren, hat er den Mann freigesprochen, aber das war nur der strafrechtliche Teil. Zivilrechtlich muss er jetzt 3000 Euro zahlen.

Oh und welches fiese Hackertool benutzte er? wget! Das hat ja auch Manning schon in Teufels Küche gebracht.

08 Feb 16:57

Die Snowden-Veröffentlichungen dieses Wochenende geben ...

Die Snowden-Veröffentlichungen dieses Wochenende geben uns endlich schriftlich, dass die Dienste "Beweise" auf kompromittierten Computern hinterlegen, um Unschuldige anzuschwärzen. Außerdem: Wie sie peinliche Stories via Social Media "pushen", um sie in das Narrativ zu kriegen. Explizit genannt werden Twitter, Flickr, Facebook und Youtube. Oh und False Flag Operations, aber deren Existenz als Geheimdienstwerkzeug kann ja schon lange niemand mehr ernsthaft bezweifeln. Dann wird auch nochmal "ROYAL CONCIERGE" erwähnt, das Programm, um in Echtzeit mitzukriegen, wenn ein Ziel in ein Hotel eincheckt. Das hatten wir ja früher schonmal bei den Snowden-Dokumenten.
27 Jan 10:47

Invasion of JCE Bots

by Denis

Joomla has been one of the most popular CMS for a long time.  It powers a huge number of sites.  That’s great! The flip side of this fact is Joomla has been very popular for a long time and there are still very many sites that use older versions of Joomla as well as older version of Joomla components. For example, the 1.5.x branch of Joomla (2008-2010) still has a noticeable share in live Joomla sites.

Old versions may work well for your site but they have multiple well known security holes, so they are the low hanging fruit for hackers. Let me show this using a real world example.

JCE attack

There is a JCE component – a fancy content editor that can be found almost on every Joomla site. It has a well known security hole that allows anyone to upload arbitrary files to a server.

You can easily find a working exploit code for this vulnerability.  What it does is:

  1. Checks whether a vulnerable version of JCE is installed (2.0.11, 2.0.12, 2.0.13, 2.0.14, 2.0.15, 1.5.7.10, 1.5.7.11, 1.5.7.12, 1.5.7.13, 1.5.7.14)
  2. Exploits the bug in the JCE image manager to upload a PHP file with a .gif extenstion to the images/stories directory
  3. Then uses a JSON command to rename the .gif file to *.php.

Now you have a backdoor on a server and can do whatever you want with the site.

This is how this attack looks in logs (real example):

197.205.70.37 - - [23/Jan/2014:16:46:54 -0500] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.0" 200 302 "-" "BOT/0.1 (BOT for JCE)"
197.205.70.37 - - [23/Jan/2014:16:46:55 -0500] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20 HTTP/1.0" 200 329 "-" "BOT/0.1 (BOT for JCE)"
197.205.70.37 - - [23/Jan/2014:16:46:55 -0500] "GET /images/stories/3xp.php HTTP/1.0" 200 465 "-" "BOT/0.1 (BOT for JCE)"

As I mentioned, JCE is a very popular component and there are still many sites that use old versions of this component. No wonder, hackers are scanning the Internet for such vulnerable sites.  They reworked the exploit code for use in their automated tools that relentlessly test millions of sites, one by another.  These days, I can find multiple requests with the “BOT/0.1 (BOT for JCE)” User-Agent string in logs of almost every site that I check, even in logs of sites that have never had Joomla installed.

I’d like to share some interesting statistics of a real site that had been hacked using this JCE hole and then was being routinely reinfected every day.

  • 7,409 requests with the User-Agent ”BOT/0.1 (BOT for JCE)“ that came from 785 different IPs during the period of Dec 24th – Jan 24th (one month)
  • 239 requests from 51 unique IP addresses during the last 24 hours
  • 4 independent (uploaded different types of backdoors) successful infections during one day.
  • plus, multiple tests for other vulnerabilities.

To webmasters

As you can see,  this is something that you can’t neglect or consider an insignificant threat.  It’s silly to hope that hackers won’t find your site. Today hackers have resources to spider the Internet almost as efficiently as Google just about 10 years ago, so there is almost no chance your site will stay unnoticed. The only way to prevent the hacks is to be proactive:  keep all software up-to-date and harden your sites.

In case of this particular JCE attack:

  1. Make sure to upgrade your Joomla site to the most current version.
  2. Upgrade JCE to the latest version. You can find download packages for all the three branches of Joomla here.
  3. Protect all file upload directories and all directories that shouldn’t contain .php files. For example, place the following .htaccess file there to prevent execution of PHP files:
    <Files *.php>
    deny from all
    </Files>
  4. Try blocking requests with the ”BOT/0.1 (BOT for JCE)” User-Agent string.  Of course, this shouldn’t be considered as a real protection. Hackers can change the User-Agent string to whatever they want. But it can help keep some dumb annoying bots away from your site.
  5. If, for some reason, you can’t upgrade your site at this moment, consider placing it behind a website firewall that will block any malicious traffic before it reaches your server.  This is something that we call virtual patching in Sucuri CloudProxy.
06 Feb 10:00

rm -rf filename *

by sharhalakis

by Murf

07 Feb 01:55

Die Amis hatten völlig Recht mit ihrer Abhörwarnung. ...

Die Amis hatten völlig Recht mit ihrer Abhörwarnung. Da ist ein Youtube-Video aufgetaucht mit einem abgehörten Telefongespräch zwischen Obamas wichtigster Europa-Beraterin und dem US-Botschafter in der Ukraine. Und die sagt da:
And, you know, fuck the EU.
Nachdem die CDU und die SPD gemerkt haben, dass sie Abhören doof finden, sobald es sie selber betraf, ... vielleicht merkt ja die US-Regierung jetzt, dass Abhören doof ist. Jetzt, wo es sie selber betrifft.
03 Feb 10:01

Things broke. I'm out.

by sharhalakis

by spoonman

04 Feb 11:12

Die Niederländer drehen am Zivilisationsrad. Leider ...

Die Niederländer drehen am Zivilisationsrad. Leider in die falsche Richtung. Wenn man in Nijmegen des Sozialleistungsbetrugs verdächtigt wird, installiert die Stadt eine eigene Überwachungskamera, die die Wohnungstür im Blick behält. Damit die städtischen Betrugserkennungsbrigaden die Leute besser im Auge behalten können! *grusel*
25 Jan 22:19

Mobile Security News Update for February 2014

Zeckenhorst81

Oldboot: the first bootkit on Android

This is an early update for February. Two reasons, I have stuff to write about right now, second I'm going to be super busy in February.

This year I attended ShmooCon for the first time. I liked it a lot and plan to go again. I didn't know ShmooCon was running for 10 years already. They seem to have a good grip on the conference and don't let it explode in size.

Conferences
    CanSecWest one of my favorite cons (maybe my #1). Talks: No Apology Required: Deconstructing Blackberry10 - Zach Lanier, Ben Nei ; Duo Security & Accuvant. Outsmarting Bluetooth Smart - Mike Ryan ; iSEC Partners. The Real Deal of Android Device Security: the Third Party - Colin Mulliner, Jon Oberheide ; Northwestern University, Duo Security.

    Troopers (Heidelberg, Germany). There is one mobile talk in the main conference but there in addition they have TelSecDay (invite only) that focuses on Telecommunication security. The main conference talk is: Modern smartphone forensics: Apple iOS: from logical and physical acquisition to iCloud backups, document storage and keychain; encrypted BlackBerry backups (BB 10 and Olympia Service) by Vladimir Katalov.

    nullcon (Goa, India) has a mobile talk this year: Modern smartphone forensics: Apple iCloud, encrypted BlackBerry backups, Windows Phone 8 cloud backup - by Vladimir Katalov.

    SyScan 2014 looks super awesome this year. Josh "Monk" Thomas : "How to train your Snapdragon: Exploring Power Regulation Frameworks on Android". Dr Thaddeus (The) Grugq : "Click and Dragger: Denial and Deception on Android Smartphones". Alex Plaskett & Nick Walker "Navigating a sea of Pwn? : Windows Phone 8 AppSec".

    Black Hat Asia THE INNER WORKINGS OF MOBILE CROSS-PLATFORM TECHNOLOGIES by Simon Roses Femerling.

    HITB Amsterdam Shellcodes for ARM: Your Pills Don't Work on Me, x86 by SVETLANA GAIVORONSKI and IVAN PETROV.

    RootedCON (Spain) talks: Raul Siles - iOS: Regreso al futuro, Pau Oliva - Bypassing wifi pay-walls with Android. Some talks look like they are mobile talks too :) (my Spanish is kinda bad)


Links

There are a lot of interesting talks in the next month. I'm working on (and finished) some interesting projects that I can hopefully talk about soon.

Our Android book is finalized and thus should be available in April.

The Defcon CFP is already open so make sure you submit your talks early. Also checkout Area 41 a fine security conference in Switzerland, the CFP is still open.

This year I'm co-chairing ARES an academic security conference. Please consider submitting your papers.

If you are interested in NFC (Near Field Communication) check out the current draft of the Web NFC API. The standard defines how a "web page" can interact with NFC devices.
28 Jan 10:00

Episode #174: Lightning Lockdown

by noreply@blogger.com (Hal Pomeranz)
Hal firewalls fast

Recently a client needed me to quickly set up an IP Tables firewall on a production server that was effectively open on the Internet. I knew very little about the machine, and we couldn't afford to break any of the production traffic to and from the box.

It occurred to me that a decent first approximation would be to simply look at the network services currently in use, and create a firewall based on that. The resulting policy would probably be a bit more loose than it needed to or should be, but it would be infinitely better than no firewall at all!

I went with lsof, because I found the output easier to parse than netstat:

# lsof -i -nlP | awk '{print $1, $8, $9}' | sort -u
COMMAND NODE NAME
httpd TCP *:80
named TCP 127.0.0.1:53
named TCP 127.0.0.1:953
named TCP [::1]:953
named TCP 150.123.32.3:53
named UDP 127.0.0.1:53
named UDP 150.123.32.3:53
ntpd UDP [::1]:123
ntpd UDP *:123
ntpd UDP 127.0.0.1:123
ntpd UDP 150.123.32.3:123
ntpd UDP [fe80::baac:6fff:fe8e:a0f1]:123
ntpd UDP [fe80::baac:6fff:fe8e:a0f2]:123
portreser UDP *:783
sendmail TCP 150.123.32.3:25
sendmail TCP 150.123.32.3:25->58.50.15.213:1526
sendmail TCP *:587
sshd TCP *:22
sshd TCP 150.123.32.3:22->121.28.56.2:39054

I could have left off the process name, but it helped me decide which ports were important to include in the new firewall rules. Honestly, the output above was good enough for me to quickly throw together some workable IP Tables rules. I simply saved the output to a text file and hacked things together with a text editor.

But maybe you only care about the port information:

# lsof -i -nlP | awk '{print $9, $8, $1}' | sed 's/.*://' | sort -u
123 UDP ntpd
1526 TCP sendmail
22 TCP sshd
25 TCP sendmail
39054 TCP sshd
53 TCP named
53 UDP named
587 TCP sendmail
783 UDP portreser
80 TCP httpd
953 TCP named
NAME NODE COMMAND

Note that I inverted the field output order, just to make my sed a little easier to write

If you wanted to go really crazy, you could even create and load the actual rules on the fly. I don't recommend this at all, but it will make Tim's life harder in the next section, so here goes:

lsof -i -nlP | tail -n +2 | awk '{print $9, $8}' | 
sed 's/.*://' | sort -u | tr A-Z a-z |
while read port proto; do ufw allow $port/$proto; done

I added a "tail -n +2" to get rid of the header line. I also dropped the command name from my awk output. There's a new "tr A-Z a-z" in there to lower-case the protocol name. Finally we end with a loop that takes the port and protocol and uses the ufw command line interface to add the rules. You could do the same with the iptables command and its nasty syntax, but if you're on a Linux distro with UFW, I strongly urge you to use it!

So, Tim, I figure you can parse netstat output pretty easily. How about the command-line interface to the Windows firewall? Remember, adversity builds character...

Tim builds character

When I first saw this I thought, "Man, this is going to be easy with the new cmdlets in PowerShell v4!" There are a lot of new cmdlets available in PowerShell version 4, and both Windows 8.1 and Server 2012R2 ship with PowerShell version 4. In addition, PowerShell version 4 is available for Windows 7 SP1 (and later) and Windows Server 2008 R2 SP1 (and later).

The first cmdlet that will help us out here is Get-NetTCPConnection. According to the help page this cmdlet "gets current TCP connections. Use this cmdlet to view TCP connection properties such as local or remote IP address, local or remote port, and connection state." This is going to be great! But...

It doesn't mention the process ID or process name. Nooooo! This can't be. Let's look at all the properties of the output objects.

PS C:\> Get-NetTCPConnection | Format-List *

State : Established
AppliedSetting : Internet
Caption :
Description :
ElementName :
InstanceID : 192.168.1.167++445++10.11.22.33++49278
CommunicationStatus :
DetailedStatus :
HealthState :
InstallDate :
Name :
OperatingStatus :
OperationalStatus :
PrimaryStatus :
Status :
StatusDescriptions :
AvailableRequestedStates :
EnabledDefault : 2
EnabledState :
OtherEnabledState :
RequestedState : 5
TimeOfLastStateChange :
TransitioningToState : 12
AggregationBehavior :
Directionality :
LocalAddress : 192.168.1.167
LocalPort : 445
RemoteAddress : 10.11.22.33
RemotePort : 49278
PSComputerName :
CimClass : ROOT/StandardCimv2:MSFT_NetTCPConnection
CimInstanceProperties : {Caption, Description, ElementName, InstanceID...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties

Dang! This will get most of what we want (where "want" was defined by that Hal guy), but it won't get the process ID or the process name. So much for rubbing the new cmdlets in his face.

Let's forget about Hal for a second and get what we can with this cmdlet.

PS C:\> Get-NetTCPConnection | Select-Object LocalPort | Sort-Object -Unique LocalPort
LocalPort
---------
135
139
445
3587
5357
49152
49153
49154
49155
49156
49157
49164

This is helpful for getting a list of ports, but not useful for making decisions about what should be allowed. Also, we would need to run Get-NetUDPEndpoint to get the UDP connections. This is so close, yet so bloody far. We have to resort to the old school netstat command and the -b option to get the executable name. In episode 123 we needed parsed netstat output. I recommended the Get-Netstat script available at poshcode.org. Sadly, we are going to have to resort to that again. With this script we can quickly get the port, protocol, and process name.

PS C:\> .\get-netstat.ps1 | Select-Object ProcessName, Protocol, LocalPort | 
Sort-Object -Unique LocalPort, Protocol, ProcessName


ProcessName Protocol Localport
----------- -------- ---------
svchost TCP 135
System UDP 137
System UDP 138
System TCP 139
svchost UDP 1900
svchost UDP 3540
svchost UDP 3544
svchost TCP 3587
dasHost UDP 3702
svchost UDP 3702
System TCP 445
svchost UDP 4500
...

It should be pretty obvious that the port 137-149 and 445 should not be accessible from the internet. We can filter these ports out so that we don't allow these ports through the firewall.

PS C:\> ... | Where-Object { (135..139 + 445) -NotContains $_.LocalPort }
ProcessName Protocol Localport
----------- -------- ---------
svchost UDP 1900
svchost UDP 3540
svchost UDP 3544
svchost TCP 3587
dasHost UDP 3702
svchost UDP 3702
svchost UDP 4500
...

Now that we have the ports and protocols we can create new firewall rules using the new New-NetFirewallRule cmdlet. Yeah!

PS C:\> .\get-netstat.ps1 | Select-Object Protocol, LocalPort | Sort-Object -Unique * | 
Where-Object { (135..139 + 445) -NotContains $_.LocalPort } |
ForEach-Object { New-NetFirewallRule -DisplayName AllowedByScript -Direction Outbound
-Action Allow -LocalPort $_.LocalPort -Protocol $_.Protocol }

Name : {d15ca484-5d16-413f-8460-a29204ff06ed}
DisplayName : AllowedByScript
Description :
DisplayGroup :
Group :
Enabled : True
Profile : Any
Platform : {}
Direction : Outbound
Action : Allow
EdgeTraversalPolicy : Block
LooseSourceMapping : False
LocalOnlyMapping : False
Owner :
PrimaryStatus : OK
Status : The rule was parsed successfully from the store. (65536)
EnforcementStatus : NotApplicable
PolicyStoreSource : PersistentStore
PolicyStoreSourceType : Local
...

These new firewall cmdlets really make things easier, but if you don't have PowerShellv4 you can still use the old netsh command to add the firewall rules. Also, the Get-Netstat will support older version of PowerShell as well, so this is nicely backwards compatible. All we need to do is replace the command inside the ForEach-Object cmdlet's script block.

PS C:\> ... | ForEach-Object { netsh advfirewall firewall add rule 
name="AllowedByScript" dir=in action=allow protocol=$_.Protocol
localport=$_.LocalPort }
28 Jan 21:27

Der Herr Verfassungsschutzchef Maaßen ist noch weggetretener ...

Zeckenhorst81

cchhhh

Der Herr Verfassungsschutzchef Maaßen ist noch weggetretener als bisher angenommen. Der hat gleich ein ganzes Füllhorn von Kloppern zu Protokoll gegeben. Ein Knüller jagt den nächsten! Es geht gleich kräftig los mit:
Ich gehe davon aus, dass die Amerikaner sich an amerikanisches Recht halten. Und das sieht nicht vor, Industriespionage durch amerikanische Dienste zu betreiben
Ja nee, natürlich nicht, Herr Maaßen! Warum würden sie das auch tun, Herr Maaßen!

But wait, there's more!

Wir haben weder valide Erkenntnisse, dass die Amerikaner Breitbandkabel in Deutschland anzapfen, noch ob aus der US-Botschaft in Berlin das Handy der Kanzlerin abgehört worden ist
Man würde denken, mit den Argumenten sind sie schon vor Monaten gescheitert, das Interview ist bestimmt vom August oder so. Aber nein, das ist frisch.

Ich würde ja auf die Primärquelle linken, aber die haben bei mir verschissen bis in die Steinzeit.

Aber eine Sache ist ja wohl sonnenklar. Nach dieser vollumfänglichen Bankrotterklärung des Verfassungsschutzes kann niemand mehr dagegen sein, den ganzen Laden sofort zu schließen. NSA und GCHQ prahlen in Powerpoint-Folien über ihre Fähigkeiten und der Verfassungsschutz schafft es in sechs Monaten Ermittlungsarbeit nicht, irgendwas davon aufzuklären. Was haben die die ganze Zeit gemacht? V-Leute in der NSA anzuwerben versucht?! Zumachen, jetzt!

28 Jan 09:53

Vermoegensabgabe kommt bald! Bringt euer Erspart...

Vermoegensabgabe kommt bald! Bringt euer Erspartes in sicherheit!
Die Bundesbank hat in ihrem jüngsten Monatsbericht die Idee einer einmaligen Vermögensabgabe zur Lösung von Staatsschuldenproblemen wohlwollend aufgegriffen.
Mehr dazu gibts bei DWN
[12] Kommentare
28 Jan 11:36

Sascha Lobo hat einen schönen Begriff dafür gefunden, ...

Sascha Lobo hat einen schönen Begriff dafür gefunden, wie die Regierungsparteien mit dem Sicherheitsapparat umgehen: Sicherheitsesoterik.

Der fasst schön zusammen, wie in der "Sicherheit" die wissenschaftliche Methode und Erkenntnisse der Aufklärung komplett ignoriert und durch typische Merkmale der Esoterik ersetzt werden:

Die offenkundigen Parallelen zum Beispiel zwischen der Vorratsdatenspeicherung und Horoskopen sind erschreckend:
  • Einzelne Geschehnisse dienen als Rechtfertigung.
  • Unabhängige Studien zur Nichtwirksamkeit werden ignoriert.
  • Die Diskussion um Details ersetzt die Diskussion um den Sinn.
  • Wie zur Beschwörung wird die Notwendigkeit ständig wiederholt.
  • Tautologische Begründungsschleifen werden verwendet.
  • Künstliche Zusammenhänge werden konstruiert.
  • Kritiker werden diffamiert.
Er hat völlig Recht. Die "Argumente" für die Vorratsdatenspeicherung erinnern an Horoskope, Tarotkarten, Wünschelruten und Bachblüten. Schlimmer noch (und der Aspekt kommt mir zu kurz bei Lobo): Wenn man Beweise fordert, bügeln die Bedarfsträger das mit Geheimhaltung ab.

Wir sind als Gesellschaft an einem Punkt angekommen, bei dem ich die potentiellen Schäden durch komplettes Beenden der Geheimhaltung für kleiner halte als die tatsächlichen Schäden durch Weitermachen damit.

28 Jan 16:26

BGH: Schufa muss ihre Bewertungsverfahren nicht offenlegen. ...

BGH: Schufa muss ihre Bewertungsverfahren nicht offenlegen. Dieses Urteil wird uns noch gewaltig in den Hintern beißen in den nächsten Jahren. Vielleicht hätten sich die Richter vorher mal mit Leuten vom Fach unterhalten sollen. Das geht nicht, dass aufgrund von geheimen Verfahren Menschen kein Mobiltelefon oder Bankkonto kriegen können, und sich die zuständige Firma dann auf Geschäftsgeheimnis beruft.
27 Jan 13:56

Kurze Durchsage des WIener Polizeichefs:Auf Kritik ...

Kurze Durchsage des WIener Polizeichefs:
Auf Kritik einer Mitorganisatorin einer Demonstration vom Freitagabend an der Vorgehensweise der Polizei reagierte Pürstl scharf: "Jetzt kommen's mir nicht mit der Tränendrüse, dass irgendwelche Tränengas ins Auge bekommen haben. Das ist nämlich gut, dass sie bei der Rettung waren, da gibt's die Daten, da können wir sie ausforschen und werden schauen, welche Beteiligung sie gehabt haben."
Da weiß man, was man hat!
26 Jan 00:47

Wie sieht das eigentlich aus, wenn die NSA ein Paket ...

Wie sieht das eigentlich aus, wenn die NSA ein Paket eines Online-Versenders abfängt, um Malware einzubauen? Hier gibt es einen Fall, der sowas sein könnte. Die Frau hat bei Amazon bestellt, das wurde in Kalifornien losgeschickt (links unten), sie wohnt in Seattle (links oben), und das Paket wurde in Virginia zugestellt (rechts oben, wo die NSA sitzt). Man würde denken, dass die sich bei sowas ein bisschen subtiler anstellen.

Update: Wieso würde die NSA deren Pakete abfangen wollen? Sie arbeitet im Tor Core Team mit.

25 Jan 06:13

Kennt ihr den schon? Bank kündigt Frau ihr Konto, ...

Kennt ihr den schon? Bank kündigt Frau ihr Konto, weil sie sich weigert, ihrem Sohn die Kontovollmacht zu entziehen?

Warum will die Bank das? Ganz einfach:

Nicht etwa, weil Kerem S. problematische Summen abgehoben hätte, sondern weil der Bank »Erkenntnisse« mitgeteilt worden seien, die eine Geschäftsbeziehung mit ihm unmöglich machten, hieß es. »Das dürfen wir Ihnen nicht sagen. Das kommt von einer internen Abteilung«, erfuhr die Mutter, als sie nach dem Inhalt der »Erkenntnisse« und der Art der Übermittlung fragte.
Soso. Interne Abteilung, ja?

Welche Art von Erkenntnissen könnte das sein, fragt ihr euch jetzt vielleicht?

Er ist nicht nur gewähltes Mitglied seiner Fachschaftsvertretung, sondern auch Kreissprecher der Deutschen Kommunistischen Partei (DKP) und argumentiert für die Vergesellschaftung von Banken.
Wie geil ist DAS denn! Der Sohn glaubt den üblen Geruch des Landesamtes für Verfassungsschutz gerochen zu haben, hat aber (noch) keine handfesten Beweise dafür. Das Dementi des Verfassungsschutzes ist jedenfalls schonmal vielsagend:
man äußere sich nicht »zu operativen Maßnahmen«.
24 Jan 14:57

Bei dem Chemie-Unfall in Virginia ist noch eine andere ...

Bei dem Chemie-Unfall in Virginia ist noch eine andere Chemikalie ausgelaufen. Die Firma, der das ausgelaufen ist, will aber keine näheren Angaben dazu machen, weil das Zeug "proprietary" sei, also ein Trade Secret. Tolle Zeiten, in denen wir da leben!

Die Firma heißt übrigens "Freedom Industries". Nein, wirklich!

24 Jan 17:35

Und noch eine Nachricht aus dem letzten Jahr: Für ...

Und noch eine Nachricht aus dem letzten Jahr: Für radioaktives Gestein aus dem Uranabbau der DDR gilt nach wie vor DDR-Recht. Da waren die Grenzwerte nicht so strikt. Money Quote:
Für die Sanierungstätigkeit der bundeseigenen Wismut GmbH seien insbesondere die Vorschriften des Strahlenschutzrechtes in Form von übergeleitetem DDR-Recht maßgeblich, beantwortet das Bundeswirtschaftsministerium die Linken-Anfrage. Es handele sich bei den betreffenden radioaktiven Stoffen deshalb auch „nicht um radioaktive Abfälle im Sinne des Atomgesetzes“. Freigrenzen und Freigabewerte der Strahlenschutzverordnung seien nicht anzuwenden, heißt es.
Na dann ist ja alles gut!
22 Jan 10:00

Operations and Engineering at full speed

by sharhalakis

image by uaiHebert

23 Jan 16:30

Game-Over-Patent des Tages: Distanz-Biometrie-Identifizierung ...

20 Jan 17:58

POS attack - a bit more now known

by noreply@blogger.com (Claus)

Just about the same time our replacement bank-cards are rolling in, better details on the Target consumer data breach also are trickling out.

I’m mostly posting this for friends and family, who like us, have been fairly regular customers of this merchant and were hit hard by the breach.

Naturally we are invested in understanding just what happened and what (if anything) we as consumers (and IT sysadmins) can learn from it.

Tech and security journalist Brian Krebs has the most details, and there is little doubt more will be coming as the investigation and forensic response continues to mature.

Super-basically summarizing the reported information to-date, the attackers appear to have breached Target’s perimeter defenses and compromise a company web-server. From there they installed (pushed?) malware onto store POS terminals (all? some?) the cashiers use (as opposed to skimmers on the card-swipe hardware). It captured the raw card data read off the magnetic stripe swiped on the terminal while it was in the POS terminal’s memory, and then used a control server inside Target’s network to accumulate all the scraped card data. From there, about 6-days later the stolen data was transmitted out to an external FTP server using another infected system inside Target’s network. The data was then grabbed and removed off the FTP server over a two-week period.

So this is quite a bit more complex and sophisticated than hacking into a company network and finding a big pile of customer account information just sitting around for the taking in a company-created database file-set, grabbing it, and running for the hills.

It appears from Mr. Krebs’ articles that the Target POS systems were using custom software on top of Windows XP Embedded and Windows Embedded for POS. How the malware interacted with the OS and how the OS was protected by security software (AV/AM/heuristic) protection is also not known.

What is reported is that the malware used wasn’t flagged (at the time and at least though January 16th) by any of the 40+ AV tools listed on virustotal.com. And someone uploaded a copy of the POS malware used in the attack to ThreatExpert.com on Dec. 18th.

Side-note…I’ve not seen it reported but wonder if any of the other online automated malware analysis sandbox services (short GSD list from 2012 Malware Analysis Resources) also got a copy uploaded for the record to them?

Attacks like this may be much more common moving forward.

You can hardly go shopping or eat out in a restaurant, or pull cash from an ATM, or visit the doctor who is carrying a specialized tablet and not see a POS terminal doing the job. And just because the GUI doesn’t look like Windows doesn’t mean that there isn’t the possibility that Windows (or another OS) is actually running underneath.

Microsoft will continue to support Windows Embedded XP for a number more years, even though their primary consumer/enterprise XP OS platform support will be ending in Spring of 2014. That means merchants get some more time to decide to keep on running as is, look to upgrade their POS systems to a newer “modern” version of Windows Embedded, or look to a different POS OS solution entirely.

Either choice may be costly…and to be fair to the POS OS…we don’t yet know how the POS’s themselves were compromised. It might have been nothing to do with any vulnerabilities in the Windows Embedded OS itself. Clearly if the internal network structure is compromised and actors are able to push a software installation or “update” to the POS systems, then that might not be an OS issue at all but rather an operational security one.

It seems more likely that a good portion of the defense in depth layer was breached. The more important questions would be how was it possible, how could the breakdown/breach of each of those separate events been detected sooner, and how could the activity generated been identified and flagged; on the server(s), on the POS systems, and finally, on the network traffic inbound/outbound/internally.

I’m sure there will be lots of great (hard) lessons to be learned across the board on this one.

More linkage:

Stay tuned for updates.

Claus V.

20 Jan 19:36

And now…back to regular GSD posting…

by noreply@blogger.com (Claus)

ForSec News

Most of these seem to be timely links in light of the recent malware-induced data breaches of late…

Patch Time Again!

Yesterday when flipping channels between a re-broadcast of Downton Abbey and the AFC playoff game (yeah--real contrast right?) Dad called in a panic as his dear wife had been browsing the InterTubes on their Vista system and they got an apparent Microsoft Security Essentials virus detection alert.

Only it didn’t quite look like what they were used to. So I popped on remotely and took a look.

Long story short, it was actually a fake AV alert image embedded in an IE tab page. Clever. Not.

Using ProcessExplorer I was able to confirm it was a “click here to clean” IE browser session only and not an actual malware fake AV binary causing the display. So a few targeted process kills later all was gone.

We did a trial to show again how the real MSSE client they have running on their system presents a legitimate detection alert.

This is a pretty common event now for them and their system. The vector seems to be that she opens up IE (the latest IE version offered for MS Vista is 9 which they have). Her home page is Yahoo.com. So then she just types in what she is looking for in the “handy” Yahoo search bar on that page and flows down the Internet River.  Often getting amazing numbers of multi-page ad/scam loads in new browser tab sessions. Yahoo seems to be the wild-west of this time of ad/page hijacking. Anyway…

We set up Google Chrome for her to use and depreciated IE as much as we could from the desktop/quick-launch in hopes that Chrome might provide a bit more protection. I ran out of time before having to head to the church-house for service support and didn’t get a chance to load it up with some additional ad-block protections but that is on the to-do list.

Anyway, before I bailed I also brought up their Java (needed unfortunately), Flash, Shockwave, Air versions to current status.

Fingers cross this will hold the dam back a bit more until little brother and I can convince Dad it is time for an OS upgrade to Win7/8 from Vista.

So with that background in mind…go get your patches!

XP support under Microsoft Security Essentials Extended (kinda)

Microsoft has come out with clarification that their Microsoft Security Essentials product will no longer be offered for download to XP OS system users after April 2014. However MS will continue to offer DAT file downloads/updates for already installed MSSE clients on XP though April 2015.

Small consolation, but really, other than looking for AV support of XP from other security software vendors, it really is time to upgrade to Windows 7 (or Win 8 I suppose).

Sysadmin Links

Defrag Tools over at Channel 9 has posted “Part 3” of their Message Analyzer video set:

TRAINING: “Windows Performance Jump Start” – Jan 23rd, Online - Kurt Shintaku's Blog

Bitrot and atomic COWs: Inside “next-gen” filesystems - Ars Technica

How to nuke your encrypted Kali install - Kali Linux

New Utilities of Note

PCI-Z - freeware - Detect unknown PCI devices. Spotted via this Identify unknown PC hardware with PCI-Z post over at BetaNews.

Recuva - freeware - version update to 1.50. - This file recovery software has some major feature updates added.

Piriform News - Recuva v1.50

Change log:

  • Added ISO 9660 file system support
  • Added recovery from unmounted drives
  • Improved duplicated file name recovery
  • Added Junction Point recovery support
  • Improved optical drive detection and recovery
  • Improved scan statistics accuracy

Bit more detail on what some of those features mean over at this Betanews post: Recuva now recovers data from unmounted drives, ISO-formatted optical discs

Cheers!

Claus V.

13 Jan 21:46

[Noodletom] Polzei trolling  in Hamburg

Polzei trolling  in Hamburg
(Quelle: http://md-protestfotografie.com/2014/01/06/erfahrungsbericht-einer-spaziergangerin-im-gefahrengebiet/)

Erfahrungsbericht einer Spaziergängerin im Gefahrengebiet


Bericht einer Spaziergängerin im Gefahrengebiet Hamburg:

Petersilie oder marihuana? bild quelle: privat

Petersilie oder Marihuana? Bild Quelle: Privat

“Ich und eine Freundin spazierten heute bei dem schönen Wetter warm angezogen und mit einem schwarzen Tuch vorm Gesicht (es ist ja schließlich Winter) durch das Hamburger Gefahrengebiet. Weil zwischendurch die Sonne rauskam trugen wir außerdem eine Sonnenbrille um unsere Augen vor dem gefährlichen UV-Licht zu schützen.
In unseren Taschen führten wir allerhand nützliche Sachen mit uns mit, auf die bei einem Spaziergang nie zu verzichten ist: Sozialistische Literatur, ein Märchenbuch, Sexspielzeug, Panzertape, Reizunterwäsche, Kondome, eine Banane, Fünf-Freunde-Kassetten, Rettungsdecken, Landkarten, Feuchttücher, Schnur, Schokolade und in kleine Tütchen abgepackte getrocknete Petersilie und Algenpulver, sowie einen Beutel mit Katzenscheiße.
Weil uns die verstärkte Präsenz der Gesetzeshüter etwas verschreckte, sind wir immer ein bisschen schneller gegangen wenn wir sie hinter einer Ecke auftauchen sahen, oder haben auch mal spontan unsere Richtung gewechselt und haben kleine Sprints eingelegt, um ihnen nicht zu nahe kommen zu müssen.
Komischer Weise hat das ihre Aufmerksamkeit auf uns gelenkt, und schon bald hatten wir eine grüne Wanne auf unseren Fersen. Vor Angst flüchteten wir in den beschaulichen Florapark. Als wir auf der anderen Seite wieder herauskamen wartete besagte Wanne schon auf uns. Wir liefen den Bürgersteig in die andere Richtung davon, so dass die Wanne aufwendig wenden musste und uns dann mit Vollgas verfolgte. Sie musste dann falschherum in eine Einbahnstraße fahren um unsere Flucht zu stoppen. Fünf schwer bewaffnete Cops sprangen aus dem Wagen, liefen uns nach, packten mich am Rucksack damit ich stehen blieb und umstelle uns. Sie nahmen unsere Personalien auf. Als wir nach dem Grund für die Kontrolle fragten, sagten sie, es handele sich um Routinekontrollen, weil wir uns in einem Gefahrengebiet befänden. Auf die Frage, wieso wir denn vor Ihnen weggelaufen wäre sagten wir, dass uns so schwer bewaffnete Leute Angst machen würden.
Als sie meinen Rucksack öffneten fanden Sie direkt das oben auf liegende Tütchen mit getrockneter Petersilie. Sie nahmen es heraus, inspizierten es, rochen daran und stellten fest: „Riecht nach Tee“. Sie machten sich ausgiebig Notizien über unser Aussehen und Verhalten, führten ein Telefonat, tuschelten ein bisschen über uns und ließen uns dann wieder gehen.
Kaum waren wir hundert Meter gegangen, stand dort eine weitere Polizeieinheit in der Ecke. Erschrocken liefen wir davon, und sie liefen uns sofort hinterher.
Schnell hatten sie uns eingeholt (wir hatten keine Lust uns wirklich Mühe zu geben mit dem Weglaufen) und umstellten uns. Sie wollten unsere Personalien haben und teilten uns abermals mit, wir befänden uns in einem Gefahrengebiet. Eine Polizistin meinen Rucksack und fand wieder das oben aufliegende Päckchen mit Petersilie. Panisch und hektisch verlangte die ihre Kollegen herbei, die mit einer Taschenlampe hineinleuchteten. Sie holte das Tütchen heraus und stellte sachkundig fest: „Nun, das sieht mir ja nach Marihuana aus. Das werden wir gleich einmal konfiszieren und zur Untersuchung an die KTU schicken. Wenn das wirklich das ist wonach es aussieht, können Sie mit einer Strafanzeige rechnen. Außerdem müssen wir Sie jetzt mit zur Wache nehmen.“
Auf der Wache musste ich mich bis auf die Unterwäsche ausziehen. Sie wollten eigentlich, dass ich mich komplett ausziehe damit sie meine Körperöffnungen kontrollieren können, aber ich habe mich geweigert und sie haben nicht weiter darauf bestanden. Anschließend wurde der Rucksack durchsucht und alle meine sorgfältig eingepackten Gegenstände hatten ihre kleinen Auftritt. Anschließend war es relativ offensichtlich, dass das ganze von uns gewollt war. Die Polizei begann daran zu zweifeln, dass sich in dem kleinen beschlagnahmten Tütchen tatsächlich das illegale Pflänzchen befinden sollte. Ich sagte, dass es sich um Petersilie handelt, worauf sie einsahen, dass das recht wahrscheinlich war. Ich bat sie trotzdem darum, es doch gerne in der KTU untersuchen zu lassen, weil sie mich nun auch etwas verunsichert hätten, ob es nicht vielleicht doch ein gefährlicher Stoff sei, aber sie wollten nun nicht mehr, und gaben es mir zurück.
Anschließend konnten wir gehen.
Etwas enttäuscht waren wir nur, dass wir keinen Platzverweis bekommen haben. So haben wir wohl leider nicht die volle Punktzahl erzielt.”

copied from
http://md-protestfotografie.com/2014/01/06/erfahrungsbericht-einer-spaziergangerin-im-gefahrengebiet/

[Reposted from Noodletom]

13 Jan 22:37

[greens] (Image)

14 Jan 11:22

[evidence] :)

01 Jan 19:23

Ein US-Bundesrichter hat entschieden, dass Laptop-Beschlagnahme ...

Zeckenhorst81

recht hat der mann...

Ein US-Bundesrichter hat entschieden, dass Laptop-Beschlagnahme am Flughafen auch ohne konkreten Verdacht legal sind. Begründung (festhalten!):
Richter Korman begründete seine Entscheidung (PDF) damit, dass im 21. Jahrhundert die gefährlichste Schmuggelware oft in Laptops und anderen elektronischen Geräten enthalten sei – zum Beispiel terroristisches Material und Pornografie.
27 Dec 14:00

HTC erklärt, wie ein Android-Update zu euch gelangt

by caschy

Smartphone-Hersteller HTC hat sich einmal die Mühe gemacht, über die Mechaniken zu informieren, die bei einem Android-Update zum Tragen kommen. Es ist ja nicht so, dass HTC auf einen Knopf drückt und das Update wird direkt auf alle Geräte ausgerollt. Es gibt einiges zu beachten und manchmal sind nicht zwingend die Hersteller daran Schuld, dass die Benutzer eines Android-Geräts so lange auf das Update warten müssen.

Bildschirmfoto 2013-12-27 um 12.52.45

HTC hat zur Visualisierung eine riesige Infografik erstellt, die Schritt für Schritt aufzeigt, wie Evalution, Development, Integration, Certfication und Push to consumer ablaufen. HTC erklärt dieses an den drei Geräteklassen, die man derzeit in petto hat, hier gibt es einmal die Entwickler-Geräte, die Google Play-Edition und die Vertragsgeräte, die auch hierzulande zu der verbreitetsten Klasse gehören.

Hier erklärt HTC, dass man erst einmal im Vorfeld von Google ein PDK (Platform Develepment Kit) bekomme. Nach der Ankündigung von Android geht der Sourcecode dann an die Chipsatz-Hersteller, die dann wiederum entscheiden, ob die neue Version von Android unterstützt wird. Ist dies der Fall, dann gehen entsprechende Treiber und Verbesserungen an HTC, die dann ihre eigene (oftmals unschöne) Software an passen müssen.

Abschließend wird mit jedem Mobilfunkbetreiber gemeinsam erarbeitet, wie dieser seine Apps, Services und Co am besten mit dem neuen System verheiratet. Nach abschließenden Tests wird dann die neue Version an die Mobilfunkbetreiber ausgeliefert, der abschließend auch noch einmal testet. Nette Geschichte, die wahrscheinlich nicht komplett aufzeigt, wie es in der Realität aussieht, zeitliche Abläufe fehlen ein wenig – wäre ja spannend zu sehen, wo die meiste Zeit vertrödelt wird – laut Grafik sind es sicherlich die Mobilfunkbetreiber.

HTC-Anatomy-of-an-Android

Team, Info und Kontakt | Google+ | Facebook | News per Google Kiosk lesen | Tarifrechner |Sony Bravia Advertorial, jeder Klick unterstützt uns

Zum Beitrag im Blog: HTC erklärt, wie ein Android-Update zu euch gelangt
Dieser Feed ist nur für den persönlichen, nicht gewerblichen Gebrauch bestimmt und Inhalt des Angebotes von www.stadt-bremerhaven.de
27 Dec 19:00

Internet-Archiv Archive.org konserviert Konsolen-Klassiker

by caschy

Das Internet-Archiv Archive.org hat ein neues Highlight. Die Seite konserviert Konsolen-Klassiker der 70er und 80er Jahre und bietet diverse Spiele direkt auf den Seiten zum Spielen an. Das Archiv hat derzeit fünf klassische Konsolen im Angebot, darunter auch den Atari 2600 und der Atari 7800 Pro.

atari2600

Bislang sind schon jede Menge Spiele eingebunden, aber es fehlt bislang der Sound der Spiele, der aber nach Angaben der Betreiber noch folgen soll. In den kommenden Monaten wolle man die Kollektion der spielbaren Klassiker noch weiter ausbauen. Eine Vielzahl von Helfer sichtet derzeit Hunderte von Modulen für diverse Spielekonsolen. Archive.org baut auf  MESS Emulation, deren Javascript MESS in jedem modernen Browser läuft. Wie schaut es bei euch aus? Zockt ihr ab und an mal Klassiker in Emulatoren? Für OS X ist ja mit OpenEmu ein ziemlich heißes Eisen erschienen.

Team, Info und Kontakt | Google+ | Facebook | News per Google Kiosk lesen | Tarifrechner |Sony Bravia Advertorial, jeder Klick unterstützt uns

Zum Beitrag im Blog: Internet-Archiv Archive.org konserviert Konsolen-Klassiker
Dieser Feed ist nur für den persönlichen, nicht gewerblichen Gebrauch bestimmt und Inhalt des Angebotes von www.stadt-bremerhaven.de