Index of /etc/

27.12.2006

23c3

Filed under: ccc — ghandi @ 04:28

23c3hinfahrt.jpg

23c3hinfahrt2.jpg

hackcenter.jpg

18.12.2006

Sau – Sau – Saubillig: Das Original

Filed under: evergreens — ghandi @ 20:25

Besser als jede Frickelkopie ist nur das Original vom Weltmarkführer.

Rio Reiser — König von Deutschland Link

gruß
ghandi

11.12.2006

1337-Br4use

Filed under: etc — ghandi @ 19:22

1337-brause.jpg

7.12.2006

Sag mal als wie sicher würdest du denn jetzt das studi-vz bezeichnen?

Filed under: studiVZ — ghandi @ 21:24

Das fragt Sandro hier und ich versuche mich mal in einer kurzen Antwort.
Zur Zeit scheint sich der Fokus beim studiVZ auf drei wesentliche Aspekte zu konzentrieren. Das ist zum Ersten die Sicherheit der Daten eines einzelnen Benutzers. Also persönliche Angaben, die nicht für alle sichtbar sein sollen, wie zum Beispiel die Handynummer, aber auch so Sachen wie persönliche Nachrichten oder Bilder.
Zum Zweiten gibt es bei allen Plattformen die mit einer großen Menge Userdaten umgehen das Problem des massenhaften Abrufens von Userdaten. Das kann zum Beispiel für Marktforschungsinstitute sinnvoll sein. Wenn sich nach einer Analyse von 250.000 Useraccounts herausstellen würde, dass homosexuelle, verheiratete, Erstsemesterstudenten dazu neigen die Gruppe „CounterStrike zocke ich um im Reallife auf alles vorbereitet zu sein“ zu joinen, dann würde sich für diese Information sicherlich ein Käufer finden.
Der dritte Aspekt ist die Zuverlässigkeit der eingesetzten Software. Wenn sich ein User selbst in eine Gruppe einladen kann, und dabei Vorkehrungen umgeht, die den Mods der Gruppe eigentlich das Privileg verschaffen sollen dies als einzige zu tun, dann Arbeitet die Software nicht so wie sie soll. Das gleiche trifft zu, wenn ein User automatisiert „Freunde“ adden kann und dabei die Captchaabfrage verscheißert, oder sich irgendwelcher Code auf dem Servern ausführen lässt.

Die Daten eines einzelnen Benutzers

Welche Daten ich ins studiVZ oder in irgendein anderes Webformular eingebe, ist mir selbst überlassen. Es ist blauäugig zu glauben, dass meine Daten nur dort wieder aftauchen wo ich sie selbst am liebsten sehen würde. Selbstverständlich können die Admins vom studiVZ alle meine Bilder sehen, alle meine Messages lesen, und ausprobieren, ob mein studiVZ-Passwort auch bei der Emailadresse funktioniert, die ich angegeben habe. Und weil das ganze auf einem Computer gespeichert ist, können das nicht nur die Admins des studiVZ, sondern auch alle, die bisher an die Daten gekommen sind oder an die Daten kommen werden.
Dieses Problem ist aber nicht studiVZ-spezifisch, sondern trifft genauso auch auf alle anderen Formulare zu. Oder, um es ganz deutlich zu sagen: Was ein User ins Internet wirft ist öffentlich, es sei denn der User trifft selbst Maßnahmen wie Verschlüsselung, um die Daten zu schützen.
Wer heute Student ist sollte ungefähr wissen was das Internet ist und muss selbst entscheiden, ob er die damit verbundenen Risiken eingeht oder nicht.

Dei Daten von $vielen Benutzern.

Es ist möglich das Internet und einzelne Dateien mit einem Programm zu durchsuchen und gegebenenfalls abuspeichern. Die Userdaten, die ein Crawler aus dem studiVZ holen kann, passen (ohne die Bilder) locker auf eine handelsübliche Festplatte. Um Werbung zielgruppenorientiert zu platzieren, oder soziologische Studien anzustellen ist studiVZ eine hervoragende Plattform. Bei eintsprechender Größe der Datenbank, können die Daten auch zur Rasterfahndung, oder Suche nach $auffälligkeiten eingesetz werden.

Das studiVZ-System

Bei der Entwicklung der Plattform scheinen die Programmierer sehr „featureorientiert“ vorgegangen zu sein. Das zeigen die bereits veröffentlichten Bugs. Usereingaben werden wurden an vielen Stellen nicht zuverlässig überprüft. In der Regel ist es sinnvoll größere Projekte von Beginn an „anständig“ zu Programmieren, weil das rumschustern im laufenden Betrieb häufig neue Fehlerquellen produziert. Ich glaube das sollten die studiVZ-Leute in den letzten Wochen gelernt haben.

 

Was sie noch nicht so gut drauf haben ist der Umgang mit gefundenen Fehlern bzw. deren Findern. Es gab da wohl Leute, die mehr als nur einen Fehler gemeldet haben, aber nur den einfachen „Finderlohn“ erhalten sollen. Ich könnte mir vorstellen, dass sich einige Leute jetzt nicht mehr die Mühe machen werden die gefundenen Bugs zu melden; schlimmstenfalls werden Leute versuchen anderswo einen „Finderlohn“ für Ihre Arbeit zu bekommen. 256€ pro gefundenem Fehler sind für das studiVZ eigentlich ein Schnäppchen, das wissen auch die „Lückensucher“.

gruß
ghandi

6.12.2006

Ich habe mich vom studiVZ (billig) bestechen lassen!

Filed under: studiVZ — ghandi @ 12:30

Mit dem studiVZ konnte (kann?) mensch eine menge Spass haben.
* Kostenlose Accounts
* keine wirkliche Überprüfung von Usereingaben.
* ca. 1.000.000 angemeldete Benutzer ohne Sinn für Datenschutz.

Da lässt sich einiges draus machen! So konnte mensch letzte Woche noch fast alle Aktionen ausführen die einem Gruppenmoderator vorbehalten sein sollten, ohne überhaupt Mitglied der Gruppe zu sein. Mit dem passenden Link, konnten „geheime“ Fotos und Userprofile angeschaut werden.
Solche Dinge sind vermutlich nicht im Sinne der Betreiber (ich hätte ja Erfinder geschrieben, wenn es da nicht facebook gäbe).
Nachdem sich letzte Woche dann jemand ein witziges Javascript-Spielchen ausgedacht hat, durch das sich Logindaten von studiVZ-Usern abgreifen lassen, wurde im studiVZ-Blog dazu aufgerufen „XSS- und CSRF-Lücken“ zu melden. Kurze Zeit später ist dann aufgefallen, das solche „Tests“ am Produktivsystem vielleicht gar keine so wahnsinnig gute Idee sind. Also wurde ein Testsystem aufgesetzt und feierlich drauf los geschossen. Dummerweise hielten sich nicht alle daran nur mit dem Testsystem zu spielen und das Unvermeidliche traf endlich ein, studiVZ ging vom Netz.

In den letzten Tagen war das studiVZ-Testsystem vermutlich das größte Trollnetzwerk der Welt (mal vom Heise-Forum abgesehen). Selbst ich hatte meinen Spass, und das heißt schon was, denn ich glaube nicht, dass ich leicht zu begeistern bin. Im IRC (dass ich an diesem Wochenende zum ersten mal benutzt habe) wurde sich lustig über gefunde Bugs und die Reaktionen von Bemmann, Brehm und dem neu dazu geholten Yalpani ausgetauscht.

Gefundene Lücken gibt es so einige. Injections in so ziemlich allen Variationen, löschen, verändern und ausspähen von Daten mit einfachsten Mitteln und Umgehung der Captchas, um ein paar Dinge zu nennen.

Als „Finderlohn“ gibt es 256€, eine Einladung zu einer „Party in einem angesagten Berliner Club“ und „zwei Freikarten für die Show der ‚Blue Man Group'“.
Das ist für ein Wochenende Spass am Gerät ok, wenn man bedenkt, dass die meisten „Lückensucher“ wohl ohnehin nichts anderes gemacht hätten als Lücken zu suchen. Tatsache ist aber auch, dass jede der gefundenen Lücken weitaus mehr Wert ist als die Belohnung. Es kann also ruhig behauptet werden, dass das Testsystem ein gelungener Schachzug war.

Die allergrößten Lücken im studiVZ sind leider immer noch offen: Die Bildungslücken der Benutzer.

gruß
ghandi

2.12.2006

studiVZ „hackmich-beta_zurück_zur_alpha-Version“ online!

Filed under: studiVZ — ghandi @ 12:01

Oh toll,

studiVZ hat jetzt endlich eine Version online gestellt, in die ich mich einloggen kann (ehrlich, so ganz ohne Kaffeepausen-Nachricht).
Und das tollste an der neuen Version ist, dass sie endlich den eigentlichen Zweck des Internets erfüllt: Sie ist eine Spielwiese!

studitest1.jpg
Ausprobiert werden dürfen laut studiVZ-Blog:


* Es geht ausschließlich um XSS- und CSRF-Lücken
* Ihr dürft die Lücken nicht dazu benutzen, um Daten einzustellen, einzusehen, zu ändern oder gar zu löschen.
* Es darf also kein Schaden entstehen – insbesondere darf unser Server nicht überlastet oder lahm gelegt werden.
* Bitte keine Brute-Force-Angriffe.

Vieleicht löst diese Testversion, die Originalseite ja über kurz oder lang auch ab, immerhin ist sie im Gegensatz zum Original: online und damit $funktionstüchtig.

gruß
ghandi

Bloggen auf WordPress.com.