Posted by admin on Juli 24th, 2008 — Posted in Allgemein
> 1. How can you restrict sudo to specific commands for specific users?
Mittels der /etc/sudoers - bei
>>>> user ALL =(ALL)
zulässigen Kommandos>
also etwa
>>>> cottonmouth ALL=(ALL) /usr/bin/*
damit dürften Dinge wie su und anderes Zeug in /sbin unmöglich
werden.
> 2. What does O-ren do immediately after starting her sniffer? Why? How can a sysadmin find that file on the box? How can O-ren recover her sniffer file?
Sie “löscht” die Datei - der unlink befehl löscht aber nur den
Verzeichniseintrag, die Datei bleibt intakt, da der tcpdump Prozess
sie ja noch offen hat und sie daher nicht wirklich freigegeben ist
oder überschrieben werden kann. Das sowohl die Datei als auch das
Verzeichnis aus nem Leerzeichen besteht um den Admin zu ärgern dürfte
nebensächlich sein 
Der Sysadmin kann dies z.B. mit lsof sehen, solange der tcpdump
Prozess noch läuft. Da erscheint auch der ursprüngliche Pfad der
datei mit dem Zusatz “deleted” und natürlich die inode Nummer.
Ausserdem den File Descriptor, aber den erfährt man eventuell auch
aus /proc/
/fd/ ausserdem steht auch dort der ehemalige
Dateiname
Widerherstellen kann man die datei durch unmounten und manuelles
Widerherstellen mit einem filesystem-recovery-tool anhand der Inode
ID - oder solange der sniffer noch läugft mittels debugging
Funktionen, indem man (z.B. mit gdb) an den Prozess attached, seine
offenen file-descriptoren übernimmt und ein eigenes code snipped
started, das die Datei zurückspult, ausliest, und in eine neue Datei
abspeichert. Dazu ist es natürlich hilfreich wenn sie read/write und
nicht write only geöffnet ist.
Ich bin mir fast sicher das es dafür fertige “toolz” gibt > 3. How did O-ren get Bill’s passwords for ssh and gpg? What can Bill do to safeguard his gpg-protected information from such attacks?
Sie hat grob gesagt die Systembibliothek mit dem read-befehl
überladen mit einer Version, die die Ein-Ausgabe Mitschnüffelt. Ich
glaube Statisch Gelinkte Varianten, die direkt mit dem Kernel
kommunizieren würden hier Abhilfe schaffen.
Im vorliegenden fall hätte O-ren aber auch gleich die Binaries durch
eigene “modifizierte” Varianten ersetzen können, da nutzt das dann
ned viel.
> 4. For extra credit: what is the meaning behind snakecharmer’s passwords?
g0dz1ll4 == Dicke fette Eidechse die gerne Tokio plattmacht
42696c6c == 0×42 0×69 0×6c 0×6c == “Bill”
6f74616b75 == 0x’dito’ == “otaku” ==
> Otaku
> From Wikipedia, the free encyclopedia
> Overweight, unkempt, bespectacled and fantasizing about an anime heroine–a popular otaku stereotype.
> In English, otaku refers to a variety of geek or fanboy/fangirl obsessed with > anime and manga
lol
No Comments »
Posted by admin on Juli 23rd, 2008 — Posted in Allgemein
und-die-einbrec-2/”>hack> > Wenn dein Nachbar dir hinterherruft, dass du vergessen hast, die Tür
> > abzuschließen, verklagst du den dann auch gleich?
>
> Sehr schlechter Vergleich.
> Vergleichbar zum geschilderten Vorfall wäre eher :
> Nachbar merkt, dass dein Schloss (du hast sehr wohl zugesperrt !)
> eine Steinzeitkonstruktion ist, die er mit einem einfachen Dietrich
> öffnen kann.
> Was er dann auch tut, und dir am nächsten Tag grinsend mitteilt, er
> habe sich ein wenig in deiner Wohnung umgesehen.
> Ich würde gerne deine Dankesworte hören !
Wobei der Vergleich wohl auch nicht ganz hinhaut.. ausser dem
Nachbarn selber interessiert es wohl keinen wirklich, ob da einer
drin rumwühlt oder nicht. Sagen wir mal lieber, Du stehst vor ‘ner
Bank, merkst, das das Schloß der Tür steinzeitlich ist, und weißt,
das noch tausende andere mit eher zweifelhaftem Interesse in der
Gegend rumlungern, und das auch gerne mal testen würden…
Im Klartext, staatliche Institutionen gleich welcher Art haben meiner
Ansicht nach die Pflicht, sich gegen eindringen in Ihr Netzwerk
abzusichern. Im Endeffekt werden die Jungs von den Bürgern bezahlt,
und müssen sich daher wohl auch Kritik gefallen lassen.
Was mich noch interessieren würde.. wenn das ganze wirklich so
dermaßen schlecht abgesichert war, war diese eine Firma bestimmt
nicht als einziger Gast in dem Sys.. sie waren wohl nur als einzige
blöd genug, das bekannt zu machen ( sicher auch zur Eigenwerbung),
während andere sich vielleicht eher darin engagiert haben, Zugriff
auf Sicherheitselevantere Daten zu bekommen und dies dann zu nutzen.
Ich weiß nicht.. die Ami’s sollten sich überlegen, wie sie da
vorgehen. Typen, die gerne mal die Army hacken wollen, gibt’s sowieso
massig denke ich mal.. wenn jetzt keiner mehr, der eine Lücke
entdeckt diese mitteilt, da er strafrechtliche Verfolgung fürchten
muß oder sonstiges, na dann gute Nacht..
Am besten ist natürlich, die Augen zu verschliessen, und abzuwarten
bis der Schaden eintritt.. nanu, hatten wir das nicht gerade erst vor
‘nem knappen Jahr????
Irgendwas haben die falsch verstanden.
so long..
Wuff
No Comments »
Posted by admin on Juli 20th, 2008 — Posted in Allgemein
> > So. Schuldig oder nicht Schuldig?
>
> Schuldig. Bei solchen Dingen muß man die nötige Sorgfalt walten
> lassen.
>
> Ein Arzt, der aufgrund eines Schreibfehlers in seinen Unterlagen Dein
> gesundes rechtes Bein statt Deinem kranken linken amputiert, ist
> schuldig oder nicht schuldig für Dich?
Ich wüsste nicht dass, Sicherheitschecks was mit amputationen gemein
haben.
Wenn die Putzfrau den Stromstecker zieht ist das vielleicht eine
amputation.
Aber nicht das testen ob ein server sicher ist oder nicht.
Letzendlich würde ich an Stelle der Firma das US-Militär wegen
versuchtem Landesverrat bzw. Gefährdung der inneren Sicherheit
verklagen.
Frage was machst Du mit einer Staatlichen Einrichtung die nicht in
der Lage ist daten für sich zu behalten?
Abgesehen davon haben sich die Amerikaner als Staatsziel gesetzt
alles zum Erwerb von Technologischem Know-How zu tun das ihr Land
nach vorne bringt.
Damit im speziellen ist auch das aus-spionieren von
Forschungseinrichtungen Fremder Länder gemeint. Desweitern sind sie
DAS LAND das ständig davon redet das sie Angst vor einem Digitalen
Angriff haben. Sie sind DAS LAND das ihren Einwohnder Cryptographie
und reverse-engeneering VERBIETET.
Mit anderen worten: Das Volk dumm halten und selber Wissen ownen.
Es wird der Tag komme wo die Amerikaner einen Krieg mit einem anderen
Land anfangen weil sie ‘digital’ angegriffen wurden.
Früher einmal war jeder im globalen Netz selber für seine Server
Verantwortlich und hat Angegriffe ohne Rücksichtnahme auf die
Nationalität gehändelt.
Es wird von den politikern leider immer mehr forciert solche Angriffe
Ländern zuzuordnen. Leider fehlt denen sowie dem Volk zum Grossteil
das Verständiss für die Technologie sowie den möglichkeiten unter dem
Deckmantel von Drittländern ein Land ‘Virtuell’ anzugreifen.
Was das mit dem ganze zu tun hat?
Es zeigt das die Amerikaner schon von ihrer Netz-Politik her
angreifbarer sind als sie es glauben.
Es zeigt wie verbogen und gefärlicht die Meinung der Menschen
einschlisslicher Deiner ist und wohin es führt (Krieg).
Das Netz ist und bleibt nicht mit Haustüren und dem real-live immer
in genau einem Punkt unvergleichbar. Kein Mensch ist in dem
Wirklichen Leben in der Lage an sämtliche Türen der WELT an einem
Tag anzuklopfen. Im Internet geht das aber und genau DAS ist der
UNTERSCHIED.
ciao Myteron
>
> SCNR.
No Comments »
Posted by admin on Juli 17th, 2008 — Posted in Allgemein
href=”http://www.hansjurt.ch/blog/?p=269″>hack> > Was ist daran schlimm, Leute zu verknacken, die in fremde Rechner
> > eindringen?
> >
> Weil die intention entscheidend ist.
Ist mir IMHO egal. Einbruch ist Einbruch.
> Nee, aber zeigst du deinen nachbarn an, wenn er dir zeigt wie
> unsicher dein haus ist und beweist das er in nullkomma nichts schaden
> anrichten kann, weil er etwas von seinem fach versteht… andere
> berappen für so einen service millionen..
Wenn, dann frage ich ihn. Lasse ich jeden ungefragt in meine Wohnung?
Wohl kaum. Wenn etwas geht, ist es noch lange nicht erlaubt.
> Soso du brichst also mit Atombomben ein.
> Äusserst interessant…
Ach Mensch, lern bitte etwas Rhetorik….dass das nicht als
wortwoertlicher Vergleich zu verstehen war, sollte klar sein…
> eben da fehlt dir die kunst des differenzierens….
> jedwege anwendung die wirklichen schaden verursacht ist schändlich,
> jedoch das aufdecken von Sicherheitslöchern und evtl. psychischer
> schaden des Admins sind in kauf zu nehmen.
Wenn die Firmen ach so heilig waeren, wie Du tust: Warum koennen die
vorher net fragen? Warum muss das immer geheim geschehen?
Situation:
Du kommst abends nach Hause und findest Deinen Nachbarn in Deinem
Kuehlschrank schnueffelnd vor, alles andere hat er scheinbar schon
abgegrast.
Du sprichst ihn an und er sagt Dir, Deine Tuer sei schlecht
abgesichert.
Deine Reaktion
[ ] a) Du dankst
No Comments »
Posted by admin on Juli 16th, 2008 — Posted in Allgemein
hackas ist daran schlimm, Leute zu verknacken, die in fremde Rechner
> eindringen?
>
Weil die intention entscheidend ist.
> An die Leute, die blind losschreien: Sollte man nun auch Einbruch
> legalisieren?
Nee, aber zeigst du deinen nachbarn an, wenn er dir zeigt wie
unsicher dein haus ist und beweist das er in nullkomma nichts schaden
anrichten kann, weil er etwas von seinem fach versteht… andere
berappen für so einen service millionen..
> Ist Eure Tuer zu Hause mit Atombomben-sicheren
> Schloessern ausgestattet? Wenn nicht, dann darf ich mir ja ungefragt
> Zutritt verschaffen.
Soso du brichst also mit Atombomben ein.
Äusserst interessant…
>
> Wer meint, solche Gesetze seien ein Eingriff in die Privatsphaere
> oder was auch immer: Sorry, aber der kann nicht mehr alle Bits
> richtig gesetzt haben.
Doch doch, alle wege führen nach Rom.
>
> PS: Ich bin fuer eine Freigabe von Penetrations-Tools, damit man das
> eigene Netz absichern kann. Somit bin ich auch fuer die
> Nichtverfolgung der Leute, die solche tools schreiben, aber fuer die
> Verfolgung der Leute, die solche tools ungefragt gegen andere
> einsetzen - und zwar ohne Ausnahme.
eben da fehlt dir die kunst des differenzierens….
jedwege anwendung die wirklichen schaden verursacht ist schändlich,
jedoch das aufdecken von Sicherheitslöchern und evtl. psychischer
schaden des Admins sind in kauf zu nehmen.
>
oder wäre es dir lieber, deine sicherheit ist in händen eines
systems, das selbst micky mouse total high aushebeln könnte, aber
deine seltsamen gesetze bleiben gewahrt…. sehr sehr merkwürdige
einstellung, muss ich schon sagen
Deus
No Comments »
Posted by admin on Juli 16th, 2008 — Posted in Allgemein
hackch weiß nicht.. die Ami’s sollten sich überlegen, wie sie da
> vorgehen. Typen, die gerne mal die Army hacken wollen, gibt’s sowieso
> massig denke ich mal.. wenn jetzt keiner mehr, der eine Lücke
> entdeckt diese mitteilt, da er strafrechtliche Verfolgung fürchten
> muß oder sonstiges, na dann gute Nacht..
> ..
> Irgendwas haben die falsch verstanden.
Tut mir leid, eher hast du was falsch verstanden.
Es war ein Einbruch, und die haben Dokumente geklaut, egal ob
vertraulich oder nicht.
>> Ein Sprecher der US-Militärpolizei sagte der Washington Post,
>> das unbefugte Eindringen in Armee-Computer, gleichgültig mit
>> welcher Rechtfertigung, verletze US-Bundesgesetze und werde
>> als Straftat verfolgt.
Es gibt auch bei uns Datenschutzgesetze. Wenn morgen einer in deiner
Sozialversicherung, bei deiner Bank, oder bei deinem Hausarzt
herumschnüffelt und deine entsprechenden persönlichen Daten klaut,
wirst du sicher mit Recht beklagen, dass deine Daten offenbar
schlecht gesichert waren, aber du wirst dem Schnüffler bestimmt nicht
freudig bewegt dafür danken, dass er die Schlamperei aufgedeckt hat.
Wenns um die US-Army geht (für die ich absolut keine
freundschaftlichen Gefühle hege), klatschen sich die Leute begeistert
auf die Schenkel. Ginge es um die eigenen Anliegen, würden die selben
Leute ziemlich schnell den Humor verlieren und keiner würde sich beim
Einbrecher bedanken.
No Comments »
Posted by admin on Juli 16th, 2008 — Posted in Allgemein
hackeide Seiten sind falsch. Erstmal ist es nicht Deine Wohnung, sondern
> vielleicht die Arztpraxis mit den ganzen Patientendaten. D.h. es ist
> nicht Eigentum einer Person bedroht, sondern im übertragenen Sinn das
> Wohl dritter..
Aber nur in diesem Fall. IMHO sind wir mittlerweile dazu abgedriftet,
Eindringen in Systeme allgemein zu bestrafen, das ich ja befuerworte.
> Zweitens ist es nicht der Nachbar, sondern ein Sicherheitsdienst, der
> schaut, ob noch jemand da drin ist, oder ob sich hinter der Tür
> überhaupt etwas zu schützendes verbirgt (oder nur schmutzige Wäsche)
Der Sicherheitsdienst wird angeheuert, nach dem Rechten zu schauen.
Der Sicherheitsdienst kommst aber nicht ungefragt vorbei, dringt ein
und sagt dann erst der Oeffentlichkeit bescheid. Das ist ein grosser
Unterschied, und wenn das jeder so machen wuerde, waeren zumindest
die SEHR unprofessionell.
> Sicher, die leben davon, man kann Ihnen vorwerfen, dass Sie nicht an
> die Army
> direkt herangetreten sind,
Punkt…kein “aber”.
> Man könnte Ihnen wirklich etwas vorwerfen, wenn Sie die erlangten
> Dokumente selbst verkauft hätten.
Haben sie es nicht? Weisst Du das? Weiss das die Army?
> Das Problem ist, wenn keiner (auch nicht “professionell” nach der
> Sicherheit schauen darf, ohne im Gefängnis zu landen, wird sich auch
> keiner mehr drum scheren. Ausser natürlich den Buben, die das Gesetz
> sowieso nicht interessiert.
Es geht nicht darum, dass sich keine Profis um Sicherheit kuemmern
duerfen, sondern dass die Profis selbst nicht kriminell werden, indem
sie ungefragt eindringen. Das sind in meinen Augen Mafia-Methoden und
aehneln Schutzgelderpressungen eher, als professionelle Beratung.
(Schmitz laesst gruessen).
Gruss
No Comments »
Posted by admin on Juli 13th, 2008 — Posted in Allgemein
hacklscher Vergleich. Richtig waere:
> Dein Nachbar geht erstmal in Deine Wohnung und guckt sich um. Sagt
> Dir dann bescheid. Kannst Du Dir sicher sein, dass er nix mitgenommen
> hat?
>
Beide Seiten sind falsch. Erstmal ist es nicht Deine Wohnung, sondern
vielleicht die Arztpraxis mit den ganzen Patientendaten. D.h. es ist
nicht Eigentum einer Person bedroht, sondern im übertragenen Sinn das
Wohl dritter..
Zweitens ist es nicht der Nachbar, sondern ein Sicherheitsdienst, der
schaut, ob noch jemand da drin ist, oder ob sich hinter der Tür
überhaupt etwas zu schützendes verbirgt (oder nur schmutzige Wäsche)
> Ueberschaetz die Wohltaetigkeit der Firma nicht. Sie hat einen
> Einbruch begangen, um fuer sich zu werben.
Sicher, die leben davon, man kann Ihnen vorwerfen, dass Sie nicht an
die Army
direkt herangetreten sind, aber das wäre dann ja keine gute Werbung.
Man könnte Ihnen wirklich etwas vorwerfen, wenn Sie die erlangten
Dokumente selbst verkauft hätten.
Das Problem ist, wenn keiner (auch nicht “professionell” nach der
Sicherheit schauen darf, ohne im Gefängnis zu landen, wird sich auch
keiner mehr drum scheren. Ausser natürlich den Buben, die das Gesetz
sowieso nicht interessiert.
No Comments »
Posted by admin on Juli 13th, 2008 — Posted in Allgemein
>
> > Wenn dein Nachbar dir hinterherruft, dass du vergessen hast, die Tür
> > abzuschließen, verklagst du den dann auch gleich?
>
> Falscher Vergleich. Richtig waere:
> Dein Nachbar geht erstmal in Deine Wohnung und guckt sich um. Sagt
> Dir dann bescheid. Kannst Du Dir sicher sein, dass er nix mitgenommen
> hat?
>
> > Es geht doch hier nur darum, dass die Army sich peinlichst beleidigt
> > sieht, weil ihre grauenvolle Schlampigkeit öffentlich gemacht wurde
> > — ihr ist kein Schaden entstanden, ganz im Gegenteil, ihr wurde
> > sogar geholfen!
>
> Ueberschaetz die Wohltaetigkeit der Firma nicht. Sie hat einen
> Einbruch begangen, um fuer sich zu werben.
Du übersiehst einen wesentlichen Punkt: Wenn die Haustüre offen
steht, und jemand geht rein und nimmt etwas mir, dann ist das
(zumindest nach den deutschen Gesetzen) kein einbruch, sondern ein
sog. einfacher Diebstahl.
cu
halef
No Comments »
Posted by admin on Juli 10th, 2008 — Posted in Allgemein
hackenn dein Nachbar dir hinterherruft, dass du vergessen hast, die Tür
> abzuschließen, verklagst du den dann auch gleich?
Falscher Vergleich. Richtig waere:
Dein Nachbar geht erstmal in Deine Wohnung und guckt sich um. Sagt
Dir dann bescheid. Kannst Du Dir sicher sein, dass er nix mitgenommen
hat?
> Es geht doch hier nur darum, dass die Army sich peinlichst beleidigt
> sieht, weil ihre grauenvolle Schlampigkeit öffentlich gemacht wurde
> — ihr ist kein Schaden entstanden, ganz im Gegenteil, ihr wurde
> sogar geholfen!
Ueberschaetz die Wohltaetigkeit der Firma nicht. Sie hat einen
Einbruch begangen, um fuer sich zu werben.
Wer hier nun dumm darsteht, kann man doch gut sehen: Wie kann man als
angebliche Sicherheitsfirma so naiv sein und ungefragt in ein
Netzwerk eindringen und danach noch offen drueber sprechen? Das es
Gesetze in den USA und sonstwo dagegen gibt, sollte man wissen, wenn
man in der Branche ist.
In meinen Augen ist der Chef der Firma eher peinlich. Durch so eine
Dummheit wird er die Firma wahrscheinlich verlieren.
Gruss
No Comments »