• Wer ist schuld am Amoklauf von Winnenden?

    Published 12. March 2009 at 11:38 am - 3 Comments

    So...

  • McColo offline – Spam Volume drops

    Published 13. November 2008 at 5:44 pm - No Comments

    After...

  • Mugabe, Zimbabwe, die Wahl, die Waffen und die “An Yue Jiang”

    Published 21. April 2008 at 11:08 pm - No Comments

    Seit meinem Besuch im August 2007 im westlichen Teil von Zimbabwe geht mir dieses Thema verständlicherweise viel näher als vorher. Nicht allein weil ich live miterleben konnte, wie das Land zu Grunde geht, sondern auch wegen der Anteilnahme, die unsere südafrikanischen Führer der Situation entgegenbrachten und wie sie uns dafür sensibilisierten (links unsere damalige Reiseroute mit Endstation in Zimbabwe). Damals schon wurde hoffnungsvoll auf die kommenden Wahlen geblickt, die nun am 29.3.2008 stattfanden und bei denen allgemein gehofft wurde, dass der 84-jährige Robert Mugabe nach 28-jähriger Amtszeit als Regierungsoberhaupt endlich abgelöst wird. Kein Zweifel besteht daran, dass er in seiner Amtszeit das Land mit diktatorischen und unmenschlichen Aktionen heruntergewirtschaftet hat – im Februar diesen Jahres hatte die Inflationsrate 100.000% überschritten. Die Touristenhochburg Zimbabwes liegt im westlichen Zipfel: Die mächtigen Victoria Falls sind nach wie vor ein beliebtes Reiseziel und sehr beeindruckend, doch auch im Touristädtchen mit dem gleichen Namen macht sich die Armut bemerkbar. An den Tankstellen gibt es keinen Sprit, Softdrinks werden in Kneipen als Spezialität des Tages gelistet (und das ist kein Scherz) und der allgemeine Trend eines jeden zimbabwischen Einwohners ist das Pilgern nach Victoria Falls, um sich dort wenigstens ein kleines Scheibchen vom Tourismus abschneiden zu können. Schlangen über hunderte Meter bilden sich morgens an einem kleinen 7-Eleven Laden, weil das Gerücht umherging, es gäbe Brot. Einheimische kommen dir alle paar Meter entgegen und wollen dir ihre geschnitzten Figuren verkaufen – nicht für Geld, sondern im Tausch gegen dein altes verschwitzes T-Shirt oder deine dreckigen Schuhe. Rießige Hotelanlagen wie “The Kindgom“, das einst Michael Jackson gehörte, sind wie leergefegt – trotz Tourismus. Die Fressmeile im Inneren des Hotelkomplexes hat nur noch wenige Läden geöffnet und wenn man sich eine Pizza bestellen willst, muss man auf 40% seiner Toppings verzichten oder Kompromisse eingehen. Für ein Trinkgeld von einem Dollar wirst du hier zu einem Gott erklärt. Ich habe noch nie jemanden so glücklich über ein kleines Trinkgeld gesehen. Der Import vom Nachbarland Zambia geht nur stückchenweise voran. An der Grenze entstehen unglaublich lange Wartezeiten, nur als Touri darf man schnell mal vor, um die Wasserfälle von der anderen Seite zu sehen. Und jetzt kam Ende März endlich die Wahl und versprach Besserung, die Oppositionspartei Movement for Democratic Change (MDC) hatte eine sehr gute Ausgangsposition und allem Anschein nach auch gewonnen. Allem Anschein nach? Ja, denn nach drei Wochen sind die Wahlergebnisse immernoch nicht veröffentlicht. Mugabe verlange eine erneute Auszählung, da es in einigen Gebieten Probleme bei der Wahl gab – natürlich waren das die MDC-Hochburgen. Da der Verdacht auf möglichen Wahlbetrug schon vor der Wahl (berechtigterweise) laut wurde, waren viele unabhängige Wahlbeobachter im Land. Jüngst bei den Neuauszählungen kam es hier jedoch zu massivem Wahlbetrug, zu Gewalt, Unterdrückung und Folterung Oppositioneller in Foltercamps. Südafrikanische Zeitungen berichten unterdessen, dass Militär, Polizei, der Geheimdienst und sogar Mugabes Leibwache dringend neue Munition und neue Waffen brauchten. Mehrere Lieferungen – Hauptlieferant China – hätten storniert werden müssen, weil die Staatsbank die Rechnungen nicht habe bezahlen können. Und ohne Waffen ist schließlich keine Unterdrückung möglich. Leider jedoch ist die Staatskasse leer und ohne Geld keine Waffen. Im Endeffekt also keine Macht mehr. Doch wer Mugabe kennt, weiß, dass er sich trotz internationalem Druck keine Möglichkeit entgehen lässt, sich an seine Macht zu klammern. Waffen müssen also her, koste es was es wolle. Die “An Yue Jiang” ist ein chinesisches Containerschiff mit genau dieser lang ersehnten Lieferung: 70 Tonnen Waffen und Munition (laut taz: 1.500 Raketen, 2.500 Mörsergranaten, fast 100 Granatwerfer und 3,5 Millionen Schuss Munition) , angeblich im Wert von 40 Millionen EURO. Damit hätte man dem Land auf ganz andere Art und Weise dienen können. Blöd auch, dass Zimbabwe keinen Hafen hat und alle möglichen Anlaufhäfen von Regierungen geführt werden, die verhindern wollen, dass diese Waffen nach Zimbabwe gelangen. So wurde die Entladung im südafrikanischen Durban verweigert und der Transport nach Zimbabwe ohnehin verboten. Abgesehen davon: Die [deutsche] Entwicklungsbank habe dem simbabwischen Staatskonzern “Iron & Steel Company” zur Errichtung eines Stahlwerks 1998 und dann noch einmal als Aufstockung im Jahr 2000 insgesamt Kredite “in zweistelliger Millionenhöhe” bewilligt, für die Simbabwe eine Staatsgarantie übernommen habe. Da Mugabe also noch Schulden in etwa der Höhe der Ladung bei der deutschen Kreditanstalt für Wiederaufbau (KfW) hat, hat die Entwicklungsbank eine Pfändung der Ladung erwirkt – bevor diese jedoch in Kraft treten konnte, legte das Schiff hastig wieder von Durban ab, Ziel unbekannt. Aufgetankt werden konnte vorher allerdings nicht mehr. Es darf gespannt sein, wo das Schiff wiederentdeckt wird und welchen Hafen es versucht anzulaufen. Ob Angola erreicht werden kann steht aufgrund des Spritmangels in den Sternen und ob die Ladung bei Mugabe ankommt ist mehr als fraglich, aber aufgrund der internationalen Mobilmachung und der Entladungsweigerung der südafrikanischen Transportarbeitergewerkschaft hoffentlich eher unwahrscheinlich. Nicht nur Südafrikas Mann im internationalen Bund der Transportarbeiter macht Front gegen Mugabe. Auch die 300.000 Mitglieder starke südafrikanische Transportarbeitergewerkschaft Satawu hat ihre Kollegen in der ganzen Welt aufgerufen, das chinesische Schiff zu boykottieren. Diese Nachrichten habe ich zum Anlass genommen, mir nochmal Lord of War anzuschauen. Denn immernoch aktuell: “While private gunrunners continue to thrive, the Worlds biggest arms suppliers are the U.S., U.K., Russia, France and China.” “They are also the five permanent members of the U.N. Security Council.” Quellen (soweit nicht anders angegeben): Mugabe erwartet Schiffsladung voller Waffen aus China vom 18.4. Mugabes Waffen-Frachter auf dem Weg nach Angola vom 20.4. Mugabe wartet auf das Geisterschiff vom 21.4. Deutsche Förderbank jagt Mugabes Waffenschiff vom 21.4. Meine Fotos von Victoria Falls in Zimbabwe Update: Die Ladung wird wohl zurückgerufen, Spiegelartikel vom 22.4.: Die “An Yue Jiang” mit ihrer Ladung aus Waffen und Munition konnte in keinem afrikanischen Hafen entladen werden, weil der internationale Verband der Transportarbeiter (ITF) überall auf dem Kontinent zu einem Boykott des Schiffes aufgerufen hatte. Heute hatte sich die letzte Hoffnung der Reederei zerschlagen: Als letztes Land weigerte sich auch Angola die Ladung zu löschen. Angolas oberster Hafendirektor Filomeno Mendonca hat den letzten möglichen Schlupfwinkel an Afrikas Küste versperrt. “Das Schiff darf keinen angolanischen Hafen anlaufen,” erklärte er in einem Interview mit Radio Luanda. Menschenrechtsgruppen und Gewerkschaften hatten davor gewarnt, die Waffen nach Simbabwe gelangen zu lassen. Dort mehren sich seit den umstrittenen Wahlen vor mehr als drei Wochen Berichte über blutige Übergriffe gegen die Opposition.

webdesign

Virtuelles Multitouch-Aquarium im Telekom Hauptquartier in Bonn

January 20th, 2010 — bjou

Diese Woche war ich zu ‘nem Security-Meeting in den Telekom Headquarters in Bonn unterwegs. Zwar nicht zum ersten Mal, trotzdem bin ich immer wieder fasziniert von diesem Bauwerk und seiner modernen Inneneinrichtung.
Diesmal hab ich jedoch was neues entdeckt – ein schönes großes Aquarium direkt in der Lobby. Habe mich selten so lange an einem Aquarium aufgehalten wie an diesem, hier sehr ihr warum, habs mal getubed:

Posted in Fun, Geek Talk. No Comments »

Datenleck bei Saturn: Alles nur eine Frage der Technik?

December 29th, 2009 — bjou

Die geflügelten Sprüche von Saturn, die man zu genüge aus Funk und Fernsehen kennt, werden mit dem aktuellen Datenleck im MP3-Shop ad absurdum geführt. So war es durch einfaches Surfen auf den Seiten des MP3-Shops möglich, auf die Daten von Dritten zuzugreifen – ohne irgendwelche Eingriffe in URL oder ähnlichem. Das ist ein klares Zeichen für einen Bug im Session Management der Applikation, einem Aspekt, der bei jedem ordentlich ausgeführten Web Application Penetrationstest eigentlich überprüft werden müsste. Durch den Fehler in der Web Applikation kam es nun also zu ungewolltem Session Hijacking durch Dritte.

  • Geiz ist geil?
  • Alles nur eine Frage der Technik?

Zumindest wenn es um die Sicherheit der Kundendaten geht, ist Geiz zumindest nicht so geil. Lustig, dass Saturn trotzdem verspricht: “Ihre bei uns gespeicherten Daten schützen wir und unsere Partnerunternehmen durch technische und organisatorische Maßnahmen, um einem Missbrauch durch Dritte wirkungsvoll vorzubeugen“.

Posted in Geek Talk, IT-Security. No Comments »

Datenklau ganz leicht gemacht

October 29th, 2008 — bjou

Der große Datenklau-Skandal bei der Telekom ist noch nicht lange her. Dass ein solches Fiasko ein Unternehmen in schlechtes Licht rücken kann, ist jedermann klar. Trotzdem ist es immer wieder erschreckend, auf welch leichte Schulter einige Unternehmen ihre Datensicherheit nehmen. Naivität ist hier ganz groß geschrieben – erst recht, wenn eine Lücke bekannt ist, aber sich einfach keiner darum kümmern mag/darf/soll.

Vor ein paar Jahren hatte ich mich bei einer Agentur eingeschrieben, die Hochschulabsolventen, Young Professionals und Studierende in Teil- oder Vollzeit an Unternehmen vermittelt. Nachdem ich nun (auf anderen Wegen) einen Job gefunden habe, wollte ich meine Daten dort löschen (lassen). Zugriff auf sein eigenes hinterlegtes Profil in der Datenbank (für Updates) erlangte man über einen einfachen Link der Form

http://www.firma.xx/xxxxxxxx/xxxxxx.php?id=<userID>&hash=<someHash>

Verdächtig genug – keinerlei weitere Authentifikation. Der Hash, als Mapping auf die ID, sollte wohl Verifikation genug sein, um nicht auf andere Daten zugreifen zu können. Eine Art Passwort also, das der User jedoch nicht kennen muss, außer er will seine eigenen Daten updaten. Dann bekommt er den Link über die Firma zugeschickt. Um die Daten zu löschen fand man im eigenen Bestand jedoch keine Möglichkeit, also bat ich darum per e-mail. Long story short: Trotz Versicherung, dass die Daten gelöscht würden, geschah lange nichts und ich musste die Jungs dort vier Mal anschreiben – eigentlich unverschämt. Irgendwann wurde es mir zu viel und ich begann, das oben genannte Mapping über den Hash auf Sicherheitstauglichkeit zu überprüften. Die Sicherheitslücke, die ich dort fand, war gravierend. Letzendlich wurde der Raum, den der Hash bot, nicht einmal voll ausgenutzt, was es prinzipiell ermöglicht, über einfachste Brute-Force Techniken Nutzerdaten auszulesen. Eine kleine Hochrechnung zeigte, dass nur wenige Trial & Error Requests zur vollkommenen Entblößung des Datenbestandes weiterer Nutzer führte. Das Krasse an der Geschichte ist jedoch, dass das Unternehmen trotz meiner sofortigen Alarmierung mit der dringenden Bitte, diesen Security-Fauxpas zu fixen, bis heute (drei Wochen später) nichts dergleichen unternommen hat. Nicht einmal ein Statement wurde dazu abgegeben, ich bekam keine Antwort auf den Sachverhalt. Aber wenigstens habe ich erreicht was ich eigentlich wollte: Meine Daten sind gelöscht und damit erstmal sicher…

Posted in Geek Talk, IT-Security. 2 Comments »

Cutwail and Rustock/Costrat: Same Command-and-Control Network

September 24th, 2008 — bjou

Yesterday I posted an analysis of Cutwail, today, while analyzing a Rustock/Costrat binary, I found something interesting:

Cutwail issued the following command to 208.66.194.232:80 (hosted by McColo, known for hosting nefarious stuff)
GET /40E80010484449525657494F5357594C49584F456C000000066600000000760000046BEB000530CDE1E7ED HTTP/1.0

receiving the answer from the web server

HTTP/1.0 200 OK
Date: Fri, 29 Aug 2008 18:21:44 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch9
Last-Modified: Fri, 29 Aug 2008 18:21:44 GMT
Cache-Control: no-cache
Content-Length: 326160
Connection: close
Content-Type: application/octet-stream

followed by an encrypted/encoded binary. I have not been able to check that file out by now, but I might provide it to the interested reader upon request. The Rustock/Costrat binaries connect to the same network. These connections by Rustock to 208.66.194.0/24 are verified by Symantec and ThreatExpert.

Yet another proof that the top spam botnets are linked together in certain ways, this time in command-and-control.

Posted in Geek Talk, IT-Security. 1 Comment »

A little Cutwail spambot analysis on network traffic

September 24th, 2008 — bjou

Recently, while analyzing network traffic of a Cutwail binary (a spambot commonly installed by a trojan of the Pushdo family), I found some interesting behavior in its command-and-control communication. Although I expected some encrypted HTTP communication on port 4080 as stated in the recent research about the TOP Spam Botnets from April 2008, I found a completely different setup. First, there have been over a dozen backend nodes (motherships) all in the 216.195.[52-63] range. Analyzing the binary revealed more hard-coded IP addresses in Russia and the US: Read the rest of this entry »

Posted in Geek Talk, IT-Security. 2 Comments »

New Fast-Flux Domains served by Warezov/Stration

August 11th, 2008 — bjou

Quick and dirty: Some new domain names (most of them created end of last week (7th-9th of August)) found during my analysis of a Warezov/Stration Binary. All of them are fast-fluxed. Expect some spam with these domains pretty soon. It probably already started, as my Honeypot served a lot of DNS Queries. Some domains already work (“European Pharmacy“, see screenshot), others still don’t. Domain Name List:
Read the rest of this entry »

Posted in Geek Talk, IT-Security. No Comments »

New Storm Campaign and Domains

August 4th, 2008 — bjou

Now I am not a tracker of storm campaigns nor binaries, I am just a casual binary analyst, but today while running a storm gateway for research purposes, I found some new domains going along with the revisited love theme and its postcard.exe.

worldpostcardart.com
superlettercard.com
yourlettercard.com
freepostcardonline.com
digitalaudiopostcard.com
lettercardadvertising.com
bestlettercard.com
audiopostcardmail.com
supergreetingcard.com
oldpostcardshop.com

While all the above domains have been created on August, 2nd, the following domain offers the Nameservers and has been created on July, 28th

brprbgok6.com

Diging these domains returns one IP with a TTL of 60 seconds, indicating Fast-Flux. I have not investigated earlier campaigns, but I wondered why only one IP was returned; typically for Fast-Flux, there is a whole bunch of short-lived IPs returned for one domain name.

The campaign’s website is kept simple:
Your download will start shortly. If you are unable to see your postcard, save it in and run on your computer.

The Binaries’ AntiVir Detection Rate is 19/36 (52.78%)

As I am the first to blog this and as I am currently not running a Storm Spambot, I guess we need to wait for Jeremy to fire up his automated extraction scripts for more insight on the respective spam messages ;)

Update Aug 6th: Today I found more information on the spam messages at the Trend Micro Blog: http://blog.trendmicro.com/storm-uses-old-bait/.
Took them some time though…

Posted in Geek Talk, IT-Security. 10 Comments »

Interesting Pattern in Storm Worm Traffic

July 21st, 2008 — bjou

Thorsten Holz kindly offered to blog my findings in Storm Worm Traffic for a larger readership. Maybe there will be some ideas on the mentioned patterns…

Posted in Geek Talk, IT-Security. No Comments »

Forensics: Anatomy of a Drive-by-Download Attack

July 5th, 2008 — bjou

The other day I checked a rarely used website of mine for its its source, where I found some suspicious code. It seemed to be some kind of malicious iframe code for drive-by downloads, so I started my investigation on it. Be alarmed: I will NOT censor any of that code, so be sure NOT to visit these websites unless you know what you are doing.
Read the rest of this entry »

Posted in Geek Talk, IT-Security. 1 Comment »

Howto: Copy/Tee/Clone network traffic using iptables

May 14th, 2008 — bjou

Having to work with Netflow data for my Diploma Thesis I invested quite some time into the following challenge:
Our Routers export Cisco Netflow Data to HOST A, where we do accounting. I want to use HOST B for several Netflow-related tests. The Routers only support one target for their netflow export (as mentioned, this target is HOST A).

Problem: How is it possible to clone the incoming stream of packets at HOST A and forward one copy into HOST A’s userspace (for accounting applications) and the other copy to HOST B’s userspace (for testing purposes)?
The specific challenge is that I do not want a simple FORWARD to HOST B, but a FORWARD of a copy, so that I can work with the data on both machines. This leads to the next problem: Packets arriving at HOST B have the Destination IP address of HOST A in their IP header. We need to rewrite this IP at HOST B so that userspace applications are able to process these packets (which they are not, if the packets are not destined to HOST B’s address).

Read the rest of this entry »

Posted in Geek Talk, Tutorials. 6 Comments »
« Older posts