25C3: Curse Of Silence

So, jetzt mal Hand hoch, wer ein Nokia E90 Communicator, Nokia E71, Nokia E66, Nokia E51, Nokia N95 8GB, Nokia N95, Nokia N82, Nokia N81 8GB, Nokia N81, Nokia N76, Nokia 6290, Nokia 6124 classic, Nokia 6121 classic, Nokia 6120 classic, Nokia 6110 Navigator, Nokia 5700 XpressMusic, Nokia E70, Nokia E65, Nokia E62, Nokia E61i, Nokia E61, Nokia E60, Nokia E50, Nokia N93i, Nokia N93, Nokia N92, Nokia N91 8GB, Nokia N91, Nokia N80, Nokia N77, Nokia N73, Nokia N71, Nokia 5500, Nokia 3250, Nokia N90, Nokia N72, Nokia N70, Nokia 6682, Nokia 6681, Nokia 6680 oder Nokia 6630 in der Hosentasche hat.

Aha. Na dann viel Spaß. Die Dinger können nämlich SMS vom Typ „e-Mail“ empfangen. Das sind SMS, die als erstes eine e-Mail Adresse enthalten. Das war aus Zeiten, als SMS/Mail Gateways noch populär waren. Wenn man solch eine SMS verschickt und am Anfang eine Mailadresse hinschreibt wird die beim Empfänger als eMail angezeigt (obwohl es ja eine SMS ist).

Der Buffer für die e-Mail Adresse ist 32 Zeichen lang.

Noch Fragen? Es genügt eine 33-Zeichen lange e-Mail Adresse in die SMS zu schreiben. Das Resultat ist, dass das angegriffene S60-Telefon keine einzige eingehende SMS mehr anzeigt. Egal wie viele hinterher gesendet werden. Auch nicht nach einem Reboot. Erst ein Factory-Reset hilft. Die Details stehen im Advisory. Es gibt auch ein Demo-Video:

Natürlich kann man als Operator (Vodafone, O2, t-mobile, e-plus) solche SMS filtern. Bis jetzt kann das aber nur t-mobile (vor 7 Wochen wurden die Operatoren angeschrieben). Und das funktioniert bei t-mobile auch nur für das Absenden.

Ich denke mal dieses Silvester wird lustig. „Hast Du meine SMS gar nicht bekommen?“ wird wohl häufiger gefragt werden. Und jetzt überlegt mal, wie oft die Leute die Software ihres Telefons updaten. Tja. Da wäre ja mal himmlische Ruhe in öffentlichen Verkehrsmitteln 😉

25C3: hangover

So langsam macht sich der Kongress bemerkbar, trotz konstanter Zufuhr von Mate werde ich noch nicht so richtig wach. Ich habe gestern den restlichen Abend im Hackcenter verbracht, teilweise Streams geguckt und teilweise am fonera geschraubt.
Sehr interessant war Squeezing Attack Traces und Stormfucker: Owning the Storm Botnet. Zuerst wurden konkrete Techniken gezeigt, wie man Malware analysieren kann. Die Zentrale Idee ist hier, statt eine Sandbox (Windows in einer VM) zu verwenden, die Requests unter Linux an Wine weiterzureichen. Dort kann man sich an jedem beliebigen Punkt reinhängen und die Requests der Malware auseinander nehmen. Schaut einfach mal auf die Honeytrap-Seite bzw. in die entsprechenden Aufnahmen.
In Stormfucker: Owning the Storm Botnet wurde das Storm Botnet vorgestellt und beschrieben, wie es funktioniert. Hier wurde – statt wie üblich eine Sandbox zu verwenden – der konkrete Botcode analysiert. Inzwischen scheinen die Tools auch einen großen Sprung gemacht zu haben, IDA Pro wurde schon mehrfach auf dem Kongress lobend erwähnt. Durch das Disassemblieren kam heraus, dass der Stormbot auf die Overnet-Architektur baut und als „Verschlüsselung“ lediglich XOR mit einem fixen Key verwendet. Man kann sich als Control-Server ausgeben und die Bots fernsteuern. Es wurde sogar ein Removal-Tool vorgestellt, mit dem man das Botnetz „von innen“ her säubern könnte. Da diese Aktion klar gegen deutsches Recht verstoßen würde, wurde das aber (noch) nicht durchgeführt.

Gerade habe ich mir Predictable RNG in the vulnerable Debian OpenSSL package angesehen, der Vortrag hat nochmal gut erläutert, warum eine auskommentierte Zeile Code einen so heftigen Effekt auf die Sicherheit von tausenden Servern hatte. Es wurden auch konkrete Angriffsszenarien und Gegenmaßnahmen gezeigt und der Vortragsstil war ebenfalls unterhaltsam 😉 Also einfach mal die Aufzeichnung anschauen, die Piratenbucht ist beim Auffinden der Mitschnitte sicherlich hilfsbereit.

25C3: hackcenter

20081229_flashing

Der fonera ist jetzt ein guter, dank der freundlichen Hilfe der Freifunker hier läuft er jetzt unter OpenWRT. Ich kämpfe noch damit, den OLSRd zum meshen zu bringen, aber das wird sicherlich noch.

Ich habe mir den Botnet-Vortrag als Stream angesehen: sehr geiler Shit wie Dennis sagen würde. Sobald der in der Piratenbucht ist, unbedingt saugen!

25C3: running your own gsm network

20081229_25c1_saal1

Auch sehr lustig, Harald Welte hat sich auf ebay eine gsm-Basisstationen gekauft und auf dem Kongress etwas rumgespielt. Wo hat man schon sonst 1000 (un)freiwillige Betatester… 😉 Die Entwicklung ist ganz spannend, wenn man sich für unter 1000 Euro + freier Software eine Basisstation hinstellen kann, ist klar, dass gsm seine bisherige Zuverlässigkeit einbüßen wird. Das Grundproblem: das Telefon muss sich gegenüber dem Netz authentifizieren. Das Netz gegenüber dem Telefon jedoch nicht und so bucht sich jedes Telefon fröhlich in das stärkste zur Verfügung stehende Netz ein.
Nettes Detail am Rande: in Ägypten (?) ist der Betrieb von GPS nicht gestattet. Jedes Telefon schaltet GPS ab (sofern vorhanden), sobald es eine Basisstation aus Ägypten „sieht“ – es muss dort nicht eingebucht sein. Wenn man also eine BST mit ägyptischer Provider-ID aufstellt, sind erstmal sämtliche Smartphones im Umkreis um die GPS-Funktion amputiert – incl. des iPhone 3G.

Die nächsten Vorträge sind nicht ganz so spannend, ich bin erstmal im Keller hocke in der Raucherhöhle. Später geht’s zu den Freifunkern, vielleicht kann mein bisher etwas nutzloser Fonera mit OpenWRT/LuCI versort werden.

25C3: code audit einmal anders

Highlight gestern war der Talk Short Attention Span Security. Ben hat unter anderem auf eine sehr interessante Möglichkeit für code audits hingewiesen. Normalerweise ist die Zeit für eine tiefgreifende Analyse zu knapp. Man setzt sich also hin und grept den Code nach problematischen Statements durch oder schaut nach, was gcc auf dem höchsten Warninglevel ausspuckt.
Ben hat auf Dehydra hingewiesen. Damit kann man den abstract syntax tree von C++ in Javascript (!) analysieren. Man scriptet sich also zu den problematischen Stellen durch und macht sie auf diese Art und Weise sichtbar (signed/unsigned Zuweisungen ect…). Ok, das sagt einem auch der Compiler, aber die Möglichkeiten sind ja unbegrenzt. Ben hat vorgschlagen ein öffentliches Repository einzurichten, in dem Script-Snippets gespeichert werden, die jeweils eine bestimmte Schwachstelle aufdecken. So könnten alle Leute viel Zeit sparen. Coole Idee 🙂

25C3: T-Shirt contest

Platz zwei geht an den Kollegen dc, dem ich schon fast traditionell jedes Jahr auf dem Kongress mit seiner angetrauten Dame begegne. Wie man sieht, ist sein T-Shirt schon IPv6 fähig:

20081228_there_is_no_place_like_1

Ich habe mir btw. gerade den Symbian-Vortrag angesehen. Inhaltlich hochinteressant, aber leider etwas … äh … monoton vorgetragen. Es gibt aber sehr ausführliche Slides incl. Shellcode für Series 60. Jetzt gibt es keine Ausreden mehr, in den nächsten 12 Monaten will ich einen sich selbst fortpflanzenden mms/bluetooth-Virus für Symbian sehen 🙂

25C3: iphone talk

Hm, der Talk war etwas … zäh … Die Jungs haben verdammt gute Arbeit geleistet, aber sie haben das Resultat nicht besonders euphorisch präsentiert. Schade eigentlich. Aber für die Unterhaltung steht ja noch Dan Kaminsky auf dem heutigen Programm 🙂

20081227_iphone_talk1

25C3: Hunger

Die Preise sind wieder fürstlich. Pizza (dicker Teigberg mit dünner Schicht Tomatensauce) für 3.70 Euro.

20081227_bcc_hunger

Da gehe ich lieber zum freundlichen Dönermann im Bahnhof.

25C3: Angekommen

Früh aufstehen lohnt doch irgendwie. Keine Schlange am Einlass und Logenplätze in Saal 1. Ich schätze mal, heute bewege ich meinen Hintern hier nicht mehr weg. Wer Lust auf Konversation hat: Saal 1, genau in der Mitte:
20081227 25c1 saal1
Gerade fliegen hier noch irgendwelche Microcopter rum, was für ein angenehmes Grundrauschen sorgt.

Klaus Hugler

Klaus Hugler

Another shot of Klaus Hugler.

Camera Model: NIKON D70
Lens: Nikon Nikkor 18-70mm 1:3.5-4.5G ED DX
Focal Length: 27.00 mm
Focal Length (35mm Equiv): 41 mm
Exposure Time: 1/125 sec
F-Number: f/8
Shooting mode: Manual
Exposure bias: 0 EV
Flash: Yes (Octabox camera left, another flash unit for the background)
ISO: 200
Image at flickr, large version

Erpressung

„ha, hab einen zahnarzttermin erpresst
erst hatte sie keinen
und dann hab ich gefragt ob sie nen kollegen empfehlen kann
und nu: donnerstag um 12
hrhrhrhrhr