Posted by admin on September 20th, 2008 — Posted in Allgemein
href=”http://articles.top501.nu/2008/09/19/top501-world-david-kernell/”>hackicht, wenn er damit an die Presse geht statt mir Bescheid zu sagen.
> Ebenfalls wäre ich nicht dankbar dafür, wenn er “zum Beweis”
> Kontoauszüge oder ähnliche Dokumente (nicht wirklich streng geheim,
> aber auch nicht öffentlich) mitgehen lassen würde. Beides hat die zur
> Diskussion stehende Firma getan.
Es geht hier aber um die Army und nicht um dein privates Zuhause,
Angelegenheiten solcher Brisanz gehöre durchaus in die
Öffentlichkeit, immerhin krigen die ihr Geld vom Staat und damit von
uns (bzw. den Ami-Bürgern). Ausserdem haben dies es nicht anders
verdient wenn die nicht in der lage sind ihre Daten halbwegs zu
schützen. Jede kleine Firma kann sich ne Firewall leisten die
verhindert das von aussen jedes Kiddy die Windowsfreigaben anzapft,
und wenn die Army das nicht kann dann isses eben deren pech.
Vermutlich sind im moment schon massig Russen oder Islamisten dabei
sich deren Netze auch mal näher anzuschauen, und die können mit den
Daten sicher mehr anfangen. Also selbst schuld.
No Comments »
Posted by admin on September 20th, 2008 — Posted in Allgemein
hack> > Möchtest du nicht wissen, wer Zugang zu deiner Wohnung hat?
>
> Ja, um ihn im Knast schmoren zu sehen.
Offenbar reichte mein Einzeiler noch nicht aus, um deinen Denkapparat
in Gang zu setzen. Also noch einmal ausführlich:
Wenn jemand Zugang zu deiner Wohnung hätte, was wäre dir lieber: Daß
er es dir verrät? Oder daß er regelmäßig bei dir vorbeikommt und dich
ausspioniert, _ohne_ daß du es merkst?
Und nun einen Schritt weitergedacht: Mal angenommen, ich hätte ohne
dein Wissen Zugang zu deiner Wohnung. Warum sollte ich dir davon
erzählen? Ich weiß ja, daß du mich dann gerne im Knast schmoren sehen
würdest. Also bin ich schlau und behalte es für mich.
Oder noch besser: Ich erzähle es jemandem, der mich dafür _nicht_ in
den Knast stecken würde. Jemandem, der für dieses Wissen sogar zahlen
würde.
Eines dürfte wohl klar sein: Der Nächste, der herausfindet, wie man
sich Zugang zu den Rechnern der US-Army verschafft, wird dieses
Wissen nicht den Behörden preisgeben. Man braucht nicht viel
Phantasie, um zu begreifen, daß das FBI mit seiner Aktion der
nationalen Sicherheit einen Bärendienst erwiesen hat.
No Comments »
Posted by admin on September 19th, 2008 — Posted in Allgemein
>
> > marasek schrieb am 24. August 2002 15:45
> >
> > > Naja, wenn ich bei Dir einbreche, mich ein wenig umsehe, Deine
> > > Pornosammlung durchstöbere, mich ein wenig an Deinem Kühlschrank
> > > bediene und dann noch öffentlich verkünde, daß Deine Wohnung schlecht
> > > gesichert ist, was würdest Du dann wohl machen? “Danke für den
> > > Hinweis!”???
> >
> > Möchtest du nicht wissen, wer Zugang zu deiner Wohnung hat?
>
> Ich würde gern wissen, wie er sich den Zugang verschafft hat, um das
> Problem zu beheben.
>
> Luke
Ok, das Problem war Dein einfaches Schloss mit einem Bartschlüssel.
Also baust Du ein Zylinderschloss ein. Das ist auch knackbar. Also
baust Du, nachdem Dich der nächste aufgeklärt hat, ein noch besseres
Zylinderschloss ein. Das wird wieder geknackt also baust Du eine
Stahltür mit Kombinationsschloss ein. Daraufhin sprengt jemand Deine
Tür etc. etc. etc. Viel Spass beim Beheben…
No Comments »
Posted by admin on September 19th, 2008 — Posted in Allgemein
href=”http://www.happyassassin.net/2008/09/18/synchronization-in-2009-whats-new-whats-good-whats-not-so-good/”> href=”http://www.thefallenonesfilm.com/movie-review-firewall/”>hacko,
das hört sich ja so an, wie der Vorgänger von Brain-OS.
Hier wurde bei den diversen Distributionen auch die Voreinstellung so
eingestellt, dass ein Zugriff von aussen vollkommen ausgeschlossen ist,
nur die Info-Dateien des Biospeichers werden an das umliegende Netz
abgegeben. Keine Info-Dateien können die Firewall nach innen
durchdringen. Das System ist natürlich in diesem Sinne auf die eigenen
Data-Records angewiesen, aber die installierten Apps brauchen/wollen eh
keine externen Daten zulassen.
Stefan
> Also nee, sowas soll sicher sein? Nehmt unbedingt nur das neue
> Nirwana-OS. Es ist sehr bescheiden in den Anforderungen, da es z.B.
> komplett ohne Hardware auskommt. Auf diese Weise wird automatisch
> ein
> kompletter Layer 1 bis 7 Firewall implementiert. Angefangen vom
> Layer 0
> (physische Trennung vom Internet durch fehlende Hardware) bis hin
> zum
> Layer 7 (Keine verwundbare Applikation, da keine Applikation)! Dies
> ist
> die erwiesenermassen einzige Lösung, die garantiert 100% sicher
> ist.
> Und das Schönste daran: Die default-Konfiguration ist bereits
> absolut
> sicher.
>
> Ãœbrigens, so ganz nebenbei schützt der so implementerte Layer 0
> Firewall sogar gegen Attacken wie 220V auf der Netzleitung (da eben
> keine Netzleitung vorhanden), und sogar gegen Vandalismus! Denn: Wo
> keine Hardware, kann auch kein Vandale selbige zertöppern.
No Comments »
Posted by admin on September 18th, 2008 — Posted in Allgemein
hackSchon, aber gegen “eingebaute” Sicherheitslöscher hilft das auch
> nicht.
Da hilft nur ständiges Informieren, Patchen, Einlesen, Lernen.
Gleichgültig bei welchem Betriebssystem.
> Und warum denn immer möglichst unsichere default Einstellungen?
Warum ist in der Werbung immer die Rede von:”Keine
Programmierkenntnisse erforderlich” oder “Ohne Schulung intuitiv
bedienbar” oder von “geeignet für administratorlosen Betrieb”?
Diese Fragen beantworten die deinige.
Anderer Ansatz: Easy to learn - Hard to use. (Der Umkehrschluß gilt
ebenfalls)
> Wäre ja fast so, wenn ich beim Autofahren eine Panne habe
> und der Hersteller kalten Arsches sagt: Haben Sie eine
> Ausbildung als KfZ-Mechaniker? Nein? Dann sind Sie selber schuld!
Du bist bei einem Server als Admin nicht nur Fahrer sondern auch
Mechaniker und Konstrukteur. Vergiß das nicht.
Und genau das von Dir zitierte bekommst Du bei *X vorher, währenddessen
und nachher gesagt.
Ohne Schonung und ohne Pardon.
Bei Microsoft-Lösungen bekommst Du das erst gesagt, nachdem Du dein
Netzwerk komplett umgestellt hast und in entsprechenden pekuniären
Sachzwängen steckst und die ersten Probleme auftreten. Beim einen
Systemhaus früher, beim anderen etwas später. Und ebenfalls ohne
Schonung und ohne Pardon.
Da die meisten Leute sich aber von schönen Worten beeindrucken lassen,
darfst Du dreimal raten, wo mehr Geschäftsabschlüsse zustandekommen…
t
No Comments »
Posted by admin on September 15th, 2008 — Posted in Allgemein
:
> > versaut jedes System! Egal ob Windows 2000 oder Linux, Solaris,
> > etc.
> >
> > Gute Ausbildung kann dies verhindern!
>
> Schon, aber gegen “eingebaute” Sicherheitslöscher hilft das auch
> nicht.
Warum nicht? Ein ausgebildeter Admin kennt solche Scheunentore und kann
sie gleich bei der Installation beseitigen.
> Und warum denn immer möglichst unsichere default Einstellungen?
Jedes Defaultpaswort ist unsicher. Es gibt ja eigene Sites, wo Listen
mit Defaultpasswörtern geführt werden.
> Sollte
> sich nicht die Maschine dem Menschen anpassen? Wäre ja fast so,
> wenn
> ich beim Autofahren eine Panne habe und der Hersteller kalten
> Arsches
> sagt: Haben Sie eine Ausbildung als KfZ-Mechaniker? Nein? Dann sind
> Sie selber schuld!
Nicht ganz.
Din “normaler” User wird genausowenig für die Sicherheit eines
Netzwerkes verantwortlich gemacht werden wie ein ebenso “normaler”
Autofahrer.
Wenn jedoch der Fahrzeughändler vergisst, bei der Ãœbergabe des
Fahrzeuges Bremsflüssigkeit einzufüllen (weil vielleicht standardmässig
keine drin ist), dann ist das doch etwas Anderes.
(Bitte zerpflückt mich jetzt nicht wegen dieses Vergleiches. Mir ist
gerade nichts anderes eingefallen.).
Maresi
1 Comment »
Posted by admin on September 15th, 2008 — Posted in Allgemein
:
[…]
> > vi läuft nicht nur auf jedem *x, sondern ist auch garantiert
> > *installiert*. (Allerdings habe ich heute nicht mehr mit so
> > vielen *x-Systemen zu tun wie vor einigen Jahren.)
>
> Ja, wenn Du häufig den Rechner wechselst, ist es wohl
> sinnvoller, vi zu “lernen” als emacs.. 
ausserdem gibt’s vi sogar fuer windows 
[…]
> > PS: Aber die wirklich verschärften Editoren laufen z. B. unter
> > BS2000 ! Der EDT - mit spaltenweisen Operationen (”Ersetze
> > Suchbegriff, aber nur in den Spalten 10 - 15″) u. a. !
>
> Na, da gibt es doch die wunderschönen Kommandozeileneditoren,
> wie zum Beispiel ed. Und edlin von DOS war doch auch nichts für
> Weichlinge, oder? lol
warum texte unter dos nicht gleich mit debug direkt in den speicher
schreiben? das ist dann *richtig* hardcore cu
59cobalt
No Comments »
Posted by admin on September 12th, 2008 — Posted in Allgemein
hack>>> cottonmouth ALL=(ALL) /usr/bforum.in/bsnl-broadband/34045-exorbitant-bills/”>in/*
>
> damit dürften Dinge wie su und anderes Zeug in /sbin unmöglich
> werden.
Aber nicht
# sudo /usr/bin/vi /etc/sudoers
(bzw. “:r /etc/sudoers” in vi)
was das Ganze etwas ad absurdum fuehrt.
> Widerherstellen kann man die datei durch unmounten und manuelles
> Widerherstellen mit einem filesystem-recovery-tool anhand der Inode
# debugfs
: open_filesys /dev/hda1
: dump_inode <1234> tcpd.out
: quit
> > 3. How did O-ren get Bill’s passwords for ssh and gpg? What can Bill do to safeguard his gpg-protected information from such attacks?
>
> Sie hat grob gesagt die Systembibliothek mit dem read-befehl
> überladen mit einer Version, die die Ein-Ausgabe Mitschnüffelt.
Nicht ganz. Sie hat via netcat das Skript apptrace hochgeladen und
dann gestartet. apptrace schaut ob ein Prozess mit dem angegebenen
Namen laeuft und wenn ja haengt es sich mt strace dran. Das gibt alle
Systemaufrufe aus.
Ganz grob:
–
while [ true ]; do
target=`ps aux | grep $1`
if [$target]
target_pid=`echo target | awk ‘{print $2}’`
strace -p $target_pid
fi
done
–
Ich bin kein geuebter Shell-Coder, da stecken also garantiert noch
Fehler drin.
Vermeiden? Das bedeutet eigentlich Smartcards.
Wenn man es hart sieht: Um das zu vermeiden, haette er statt GPG eine
(X.509-basierte) Verschluesselungsloesung mit
Smartcard-Unterstuetzung benutzen sollen - am besten einen
Class-2-Leser, mit separater Eingabeeinheit.
Denn: Welche Smartcard-Reader unterstuetzt GPG? Sowas will ich
eigentlich schon seit vielen Jahren — habs aber noch nicht gefunden.
bye, ju
No Comments »
Posted by admin on September 12th, 2008 — Posted in Allgemein
hack Aber wenn der Datenstrom für die Person wertlos ist (sie will ja
> > anscheinend nicht bezahlen), warum sollte sie den dann
> > entschlüsselen?
>
> Einfach nur, um es mal gemacht zu haben. Um zu verstehen, wie das
> System arbeitet.
Ja, wenn man es selber hackt, als sport, aus interesse an der
verschlüsselung usw. dann ist es meiner Meinung nach ok. Dann
braucht man es aber doch nicht veröffentlichen. Gerade bei diesem
Cerebro gibts doch gar nichts zu verstehen. Es ist ein
verschlüsselter Code den der Endanwender nicht einsehen kann. Es geht
alleine darum Premiere gratis zu gucken. Wenn jemand was knacken
will, dann soll er es machen, wenn jemand einen Virus schreiben will
(nur um zu verstehen wie sowas geht) dann kann er das in seinem
internen netz gerne ausprobieren, wenn sich jemand eine Knarre kauft
um rumzuballern, dann kann er das gerne in der Schiesshalle so
machen. Wenn aber andere dadurch geschädigt oder betrogen werden,
dann geht das ganze zuweit.
No Comments »
Posted by admin on September 10th, 2008 — Posted in Allgemein
hacka, wenn man es selber hackt, als sport, aus interesse an der
> verschlüsselung usw. dann ist es meiner Meinung nach ok. Dann
> braucht man es aber doch nicht veröffentlichen.
Es hat nicht unbedingt jeder die Mittel dazu, so eine Smartcard
auseinander zu nehmen. Aber Interesse an der Funktionsweise des
Systems ist breit vorhanden und daher find ich es ok, das auch zu
veröffentlichen.
> Gerade bei diesem
> Cerebro gibts doch gar nichts zu verstehen. Es ist ein
> verschlüsselter Code den der Endanwender nicht einsehen kann. Es geht
> alleine darum Premiere gratis zu gucken.
Deswegen find ich die Cerebro auch nicht ok.
> Wenn jemand was knacken
> will, dann soll er es machen, wenn jemand einen Virus schreiben will
> (nur um zu verstehen wie sowas geht) dann kann er das in seinem
> internen netz gerne ausprobieren, wenn sich jemand eine Knarre kauft
> um rumzuballern, dann kann er das gerne in der Schiesshalle so
> machen. Wenn aber andere dadurch geschädigt oder betrogen werden,
> dann geht das ganze zuweit.
Ich seh darin eben keinen Schaden, diese Erkenntnisse zu
veröffentlichen. Ebensowenig schadet es, irgendwo eine Bauanleitung
für eine Bombe zu veröffentlichen.
No Comments »