Autor: melle

So langsam macht sich der Kongress bemerkbar, trotz konstanter Zufuhr von Mate werde ich noch nicht so richtig wach. Ich habe gestern den restlichen Abend im Hackcenter verbracht, teilweise Streams geguckt und teilweise am fonera geschraubt.
Sehr interessant war Squeezing Attack Traces und Stormfucker: Owning the Storm Botnet. Zuerst wurden konkrete Techniken gezeigt, wie man Malware analysieren kann. Die Zentrale Idee ist hier, statt eine Sandbox (Windows in einer VM) zu verwenden, die Requests unter Linux an Wine weiterzureichen. Dort kann man sich an jedem beliebigen Punkt reinhängen und die Requests der Malware auseinander nehmen. Schaut einfach mal auf die Honeytrap-Seite bzw. in die entsprechenden Aufnahmen.
In Stormfucker: Owning the Storm Botnet wurde das Storm Botnet vorgestellt und beschrieben, wie es funktioniert. Hier wurde – statt wie üblich eine Sandbox zu verwenden – der konkrete Botcode analysiert. Inzwischen scheinen die Tools auch einen großen Sprung gemacht zu haben, IDA Pro wurde schon mehrfach auf dem Kongress lobend erwähnt. Durch das Disassemblieren kam heraus, dass der Stormbot auf die Overnet-Architektur baut und als „Verschlüsselung“ lediglich XOR mit einem fixen Key verwendet. Man kann sich als Control-Server ausgeben und die Bots fernsteuern. Es wurde sogar ein Removal-Tool vorgestellt, mit dem man das Botnetz „von innen“ her säubern könnte. Da diese Aktion klar gegen deutsches Recht verstoßen würde, wurde das aber (noch) nicht durchgeführt.

Gerade habe ich mir Predictable RNG in the vulnerable Debian OpenSSL package angesehen, der Vortrag hat nochmal gut erläutert, warum eine auskommentierte Zeile Code einen so heftigen Effekt auf die Sicherheit von tausenden Servern hatte. Es wurden auch konkrete Angriffsszenarien und Gegenmaßnahmen gezeigt und der Vortragsstil war ebenfalls unterhaltsam 😉 Also einfach mal die Aufzeichnung anschauen, die Piratenbucht ist beim Auffinden der Mitschnitte sicherlich hilfsbereit.

Der fonera ist jetzt ein guter, dank der freundlichen Hilfe der Freifunker hier läuft er jetzt unter OpenWRT. Ich kämpfe noch damit, den OLSRd zum meshen zu bringen, aber das wird sicherlich noch.

Ich habe mir den Botnet-Vortrag als Stream angesehen: sehr geiler Shit wie Dennis sagen würde. Sobald der in der Piratenbucht ist, unbedingt saugen!

Auch sehr lustig, Harald Welte hat sich auf ebay eine gsm-Basisstationen gekauft und auf dem Kongress etwas rumgespielt. Wo hat man schon sonst 1000 (un)freiwillige Betatester… 😉 Die Entwicklung ist ganz spannend, wenn man sich für unter 1000 Euro + freier Software eine Basisstation hinstellen kann, ist klar, dass gsm seine bisherige Zuverlässigkeit einbüßen wird. Das Grundproblem: das Telefon muss sich gegenüber dem Netz authentifizieren. Das Netz gegenüber dem Telefon jedoch nicht und so bucht sich jedes Telefon fröhlich in das stärkste zur Verfügung stehende Netz ein.
Nettes Detail am Rande: in Ägypten (?) ist der Betrieb von GPS nicht gestattet. Jedes Telefon schaltet GPS ab (sofern vorhanden), sobald es eine Basisstation aus Ägypten „sieht“ – es muss dort nicht eingebucht sein. Wenn man also eine BST mit ägyptischer Provider-ID aufstellt, sind erstmal sämtliche Smartphones im Umkreis um die GPS-Funktion amputiert – incl. des iPhone 3G.

Die nächsten Vorträge sind nicht ganz so spannend, ich bin erstmal im Keller hocke in der Raucherhöhle. Später geht’s zu den Freifunkern, vielleicht kann mein bisher etwas nutzloser Fonera mit OpenWRT/LuCI versort werden.

Highlight gestern war der Talk Short Attention Span Security. Ben hat unter anderem auf eine sehr interessante Möglichkeit für code audits hingewiesen. Normalerweise ist die Zeit für eine tiefgreifende Analyse zu knapp. Man setzt sich also hin und grept den Code nach problematischen Statements durch oder schaut nach, was gcc auf dem höchsten Warninglevel ausspuckt.
Ben hat auf Dehydra hingewiesen. Damit kann man den abstract syntax tree von C++ in Javascript (!) analysieren. Man scriptet sich also zu den problematischen Stellen durch und macht sie auf diese Art und Weise sichtbar (signed/unsigned Zuweisungen ect…). Ok, das sagt einem auch der Compiler, aber die Möglichkeiten sind ja unbegrenzt. Ben hat vorgschlagen ein öffentliches Repository einzurichten, in dem Script-Snippets gespeichert werden, die jeweils eine bestimmte Schwachstelle aufdecken. So könnten alle Leute viel Zeit sparen. Coole Idee 🙂

Platz zwei geht an den Kollegen dc, dem ich schon fast traditionell jedes Jahr auf dem Kongress mit seiner angetrauten Dame begegne. Wie man sieht, ist sein T-Shirt schon IPv6 fähig:

Ich habe mir btw. gerade den Symbian-Vortrag angesehen. Inhaltlich hochinteressant, aber leider etwas … äh … monoton vorgetragen. Es gibt aber sehr ausführliche Slides incl. Shellcode für Series 60. Jetzt gibt es keine Ausreden mehr, in den nächsten 12 Monaten will ich einen sich selbst fortpflanzenden mms/bluetooth-Virus für Symbian sehen 🙂

Die heiligen Mate-Vorräte zu hause sind alle, musste mir heute ein Pils zum Frühstück mitnehmen. Bin wieder in der Loge anzutreffen…

Die vorlage für das geniale T-Shirt von John Gilmore gibt es übrigens auf seiner website.

Hm, der Talk war etwas … zäh … Die Jungs haben verdammt gute Arbeit geleistet, aber sie haben das Resultat nicht besonders euphorisch präsentiert. Schade eigentlich. Aber für die Unterhaltung steht ja noch Dan Kaminsky auf dem heutigen Programm 🙂

Die Preise sind wieder fürstlich. Pizza (dicker Teigberg mit dünner Schicht Tomatensauce) für 3.70 Euro.

Da gehe ich lieber zum freundlichen Dönermann im Bahnhof.

„I’m still free – what about you?„