BjOG – Bjou’s Blog, that is!

Weil es bei dem Intel Core2 Quad (“Kentsfield”) angeblich so einfach sein soll, hab ich es auch mal versucht und eine Übertaktung vorgenommen. Multiplikator bei 9 gelassen, FSB von 266Mhz auf 333Mhz erhöht, VCore vom Mainboard (Gigabyte P35-DS3) automatisch einstellen lassen, Rest Default. Reboot! Und schon is meine Maschine um 25% übertaktet. Von 2,4GHz auf 3,0GHz – das war alles! Leider macht der Boxed-Lüfter dabei ein nicht all zu gutes Bild. Nach unter einer Minute Prime95 Lasttest gehen die Kerntemperaturen schon über die 80°, daher musste nun was neues her: Scythe Mine Rev B. 15cm hoch, mega großes Ding, passt gerade so ins Gehäuse, kühlt aber besser. Core-Temperaturen nach 30 Minuten Prime95 Small-FFT Lasttest bei 70/73/73/70 Grad, bei Large-FFT Tests bleibt es im Schnitt bei 69°. Beim Idlen sind’s um die 38°. Unter Last trotz allem noch etwas hohe Temperaturen, aber nicht weiter tragisch. Der Q6600 in der G0 Stepping Variante ist zwar nur bis 71° offiziell quälbar, bevor gethrottled wird, allerdings ist dies die Angabe der CPU Temperatur, die etwa 10° unter der Temperatur der Kerne liegt. Everest sagt unter Last: 61°. Die Temperaturen ausgelesen habe ich mit CoreTemp und Everest Ultimate. CPU-Z sagt, dass der Rechner auf den vollen 3GHz läuft, also nicht gethrottled wurde trotz hoher Kerntemperaturen. Und stabil läuft er auch nach über einer Stunde Vollast. Passt also – oder gibts Einwände?…

UPDATE: Nachdem ich den Rechner wieder in die Vertikale gestellt habe stiegen die Temperaturen unter Last auf einmal ins Unermessliche, yikes!! Was war passiert? Die Pushpins saßen wohl nicht so fest… Naja, jedenfalls sitzt der Lüfter jetzt richtig und von den oben genannten Temperaturen könnt ihr nun ruhig ein paar Grad abziehen, nach 30 Minuten Last bleibe ich jetzt bei allen Kernen unter 60° (49° CPU Temperatur), beim Idlen bin ich bei 33-38°. Besser. Dafür rasselt der Lüfter ein bissl, aber das is mir jetzt erstmal egal, jetzt hab ich kein Bock mehr, das legt sich oder hört sich hoffentlich weg

UPDATE: Lüfter eingeschickt und austauschen lassen

“DSL-Kunden der Deutschen Telekom klagen darüber, dass sie alle Dienste und Domains von Google seit etwa 16:00 Uhr am heutigen 6. März 2008 nicht mehr aufrufen können. Auch durch Eingabe der IP-Adresse sind die Google-Angebote derzeit nicht nutzbar. Aber auch einige andere Webseiten sollen von dem Problem betroffen sein.” –golem.de

Zur selben Zeit, 16 Uhr, schwankt der DAX nach unten. Zufall? Komisch allemal Wo lag das Problem? Telekom sagt, dass “keine Störung in der eigenen Netzinfrastruktur erkennbar” war und Google’s Server liefen auch problemlos…

My study thesis is finally completed. It deals with different Intrusion Detection approaches consisting mainly of sniffers and honeypots and their implementation in the University’s campus network. Basically, I have deployed several heterogenous sensors in different subnets/VLANs and enabled all of them to report to one centralized console for further investigations and automated incident forwarding to the appropriate persons in charge. This is the abstract:

Computer systems and -networks connected to the Internet are exposed to a large array of malicious activities. Computers throughout the world are continuously being scanned for vulnerabilities, exploited and finally compromised by humans or by autonomously spreading malicious software, called malware. To stem this thread, the University of Karlsruhe has deployed an Intrusion Detection System (IDS) consisting of the Intrusion Prevention module ”IntruShield” and some other quarantine automation modules. The purpose of this study thesis is to ensure deeper security by extending this IDS according to the ”Defense in Depth” strategy. Therefore, several sensors have been deployed into the core- and user network to extend the current setup to a distributed Intrusion Detection System. The heterogeneity of these sensors aid to cover different kinds of attacks: Sniffers for network traffic examination, honeypots for network-host specific operations and host-based IDSs (HIDS) for hostspecific activities. As this heterogeneity leads to a large amount of different data to be analyzed, it has been decided to implement a hybrid Intrusion Detection framework, which enables all the different security applications, i.e. sensors, to report to a centralized console which performs automatic aggregation of the distributed data and correlation between the various events, presented to the security analyst through a web interface.
This work gives an introduction to the basic principles, approaches and securityrelated software technologies used throughout this study thesis. Moreover, it describes the current security concept of the University of Karlsruhe as well its proposed enhancements. In detail, this thesis evinces the campus-wide implementation of the previously mentioned distributed Intrusion Detection architecture and concludes with its evaluation and a future outlook. The thesis shows that the commissioning of this approach results not only in a better automated, but also in a more structured, more unified and a more accelerated security process.

Link: Intrusion Detection with Heterogenous Sensors, 86 pages, 3.5 MB.

Wer sucht, der findet. Es ist unglaublich, wieviele große Websites mit einem anerkannten Unternehmen dahinter heute noch für XSS (Was ist XSS? Man konsultiere Wiki oder Heise) anfällig sind. Dabei kann es echt gefährlich werden obwohl es so leicht zu umgehen ist.

Angefangen hat alles damit, dass der Karlsruher Stadtblog meinen BjOG verlinkt hat. Allerdings nicht freiwillig. Was man hier sieht ist eine einfache XSS-Attacke gegen die Website des Stadtblogs, die dann (across-sites) meinen Blog in einem iframe lädt. Das kann böse ausgenutzt werden, wie das Beispiel von Saturn zeigt (Notiz: Hier muss man zunächst auf Saturn.de gehen um sich ein Cookie abzuholen (wenn man noch keines hat), indem man eine Filiale auswählt.) Der Elektronikkette habe ich auch eine bösartige Seite untergejubelt, mehr schlecht als recht an deren Design angepasst und könnte somit z.B. leicht Kreditkarteninformationen von Usern ergattern oder Cookies und damit Usersessions hijacken.
Auch die Frankfurter Allgemeine Zeitung (FAZ) ist vor XSS-Attacken nicht gefeit. Das Unterjubeln gefälschter Seiten oder der Diebstahl von Cookies und das damit verbundene Account Hijacking durch komplettes Umgehen des Authentication Prozesses sind so kein Problem mehr, wie man auch bei Die Welt sehen kann. Die dort gezeigten Cookie Credentials hätte ich ohne Probleme an mich senden lassen können. Hier war der Aufwand jedoch etwas größer, da die Welt den User-Suchstring augenscheinlich nur per POST übermittelt, was auch gut so ist, denn das verhindert zumindest URL-basierte XSS-Attacken. Leider kann man das bei der Welt jedoch auch umgehen, indem man aus dem Code die nötigen POST Variablen extrahiert und über die URL als GET interpretieren lässt. Bugfix: Clientinformationen nur als HTTP POST annehmen…

Wie man sieht ist XSS ein seriöses Problem, dem leider nicht so viel Aufmerksamkeit zukommt wie es sollte. Dabei reicht es doch schon, die Inputdaten von Usern entsprechend zu filtern. Die oben genannten Beispiele sind bei weitem nicht die einzigen, viele weitere große Betreiber, die ich hier jedoch nicht liste, sind davon betroffen. Dies soll nur ein kleiner Warnschuss sein. Nach der Veröffentlichung dieses Beitrages habe ich umgehen die Websitebetreiber informiert. Ich bin mal gespannt, wielange es braucht, bis die ersten reagieren.

edit: Falls die Lücken geschlossen werden sollten, hier die Beweis Screenshots:

edit: Wow, das ging schnell, der stadtblog is schon gefixt!

Wann bitte leben wir denn? In Zeiten, in denen der globale Marktanteil von Firefox mehr als 15% beträgt (>40% in Deutschland, ~55% auf dem BjOG), darf man sich so etwas doch bitte nicht mehr erlauben… *kopfschüttel*

WARNING: You are using a web browser that we do not support

Please read carefully…
The web browser you are using is not compatible with our survey system. Currently we require Microsoft Internet Explorer 5.0 (Windows only) or higher to properly view one of our surveys. If you are using Mozilla, Firefox, Netscape, Opera or some other browser you will not be able to continue. We are working hard to make our system compatible with as many browsers and operating systems as possible.

Wer schon immer mal seinen Computer durch simples Pfeifen steuern wollte, wie es in diesem Youtube Video gemacht wird, sollte dieses kleine Tutorial lesen. Es sollte mit Debian und Ubuntu funktionieren. Read the rest of this entry »

Ein Portrait nur dargestellt aus Nullen und Einsen… Früher von Hand gemacht, jetzt endlich mit einem kleinen PHP-Script automatisiert. Wie funktioniert es?

• Bild auf eine entsprechende Größe bringen, so dass der 0-1-Output kopiert werden und auf eine Word-DIN A 4 Seite gebracht werden kann
• Bild in der Höhe halbieren bei gleichbleibender Breite
• Bild in pures Schwarz-Weiß umwandeln (Monochrom)
• Für jeden schwarzen Pixel eine 0 und jeden weißen Pixel eine 1 als Output festlegen

Für alle Interessierten zum Testen unter http://www.bjou.de/ascii. Das Ergebnis gelingt am besten mit kleinen kontrastreichen Bildern (Profilbilder, Passfotos, Avatare…), daher ist die max Dateigröße auf 500KB JPGs beschränkt. Da Monochrom-Umwandlung mit purem PHP nicht möglich ist, wird ImageMagick als backend verwendet, was durch Daniël Eiland’s PHP ImageMagick Class ermöglicht wird.
Je weiter man sich vom Monitor entfernt, desto besser erkennt man im ASCII-Bild den eigentlichen Inhalt wieder, vorausgesetzt das Bild ist nach obigen Kriterien gut gewählt!

Working on my student research project, I have to monitor a quite large network. Therefore, I have configured one of the main switches to mirror the traffic to my hi-end sniffing machine. Trying to capture the traffic with software depending on libpcap, I encountered massive packet loss almost immediately using libpcap-0.8 on Debian (which is version 0.9.5-1). Now I have commited a whole day in trying to decrease the amount of dropped packets. There are some promising solutions, namely mmap’ed libpcap, NAPI (polling-enabled Network Driver) and PF_RING, the latter being the most promising, after having read “Improving Passive Packet Capture: Beyond Device Polling“. Now theory sounds great and is one thing, but getting it to run without any useful documentation almost killed me. Now here is how I finally did it…
Read the rest of this entry »

StudiVZ schreibt über die Super-Suche:

Ist sehr Performanz intensiv und daher vorübergehend deaktiviert. Kommt aber in vorauss. 2 Wochen wieder.

Das war am 7. November. Mittlerweile ist der 11. Dezember und die Super-Suche ist immernoch nicht da. Nicht tragisch, aber ein Grund, sich mal hinzusetzen und selbst ein Suchinterface zu basteln. Deaktiviert ist nämlich nicht gleich deaktiviert. Wer also schon immer mal wissen wollte, welche Mädels aus der eigenen Stadt am gleichen Tag Geburtstag haben, solo sind und sich für Dating interessieren, der ist bei der externen Super-Suche genau richtig

Drawback: “Auf der Suche nach” lässt sich momentan nicht mehrfach anwählen, daher Radiobuttons statt Checkboxen. Wer Bugs findet, darf sie behalten oder hier posten, die Betaphase war gleich Null

Update 15.12.2006: studivz ist auf die externe Supersuche aufmerksam geworden und hat sie geblockt. Morgen mittag funktioniert sie wieder, versprochen!

Update 16.12.2006: So, geht wieder…

Update 19.01.2007: Geburtstagsdaten sind ist nun getrennt eingebbar, außerdem besteht nun die Möglichkeit, nach allen Freunden zu suchen, die gerade online sind

Update 27.05.2008: Die Suche funktioniert nicht mehr! Es gab wohl strukturelle Änderungen bzgl. der Suchparameter auf Seiten von studivz und ich habe keine Zeit, die Suche anzupassen

In einem tecchannel-Bericht habe ich gelesen, dass die Polizei mittlerweile schon mehrfach online verdächtige PCs durchsucht haben soll, was eine Hausdurchsuchung in physikalischen Sinne wohl erstmal überflüssig macht. Dies soll mit einem neuen Verfahren gelungen sein, zu dem aus “ermittlungstechnischen Gründen” keine Details gegeben werden können. Was könnte dieses Verfahren nun sein? Softwareseitige Sicherheitslücken? Trojaner? Remote Desktop/VNC? Wenn ja, was ist daran neu? Wenn nein, wie bitte soll das “Verfahren” durch meine Firewalls auf mein up2date Unix/Linux gelangen? Die Details würde ich gerne mal erfahren!
Kommentar: http://www.tecchannel.de/blog/posts/177
Originalartikel: http://www.sueddeutsche.de/computer/artikel/65/93971/