Als Journalist im Fachbereich IT-Sicherheit übt Malware verständlicherweise einen großen Reiz auf mich aus. Ich finde die Programme faszinierend und verschlinge gerne die Reports zu Stuxnet und Co, wenn sie denn von den Analysten bei Symantec, F-Secure, Kaspersky, Sophos und Co veröffentlicht werden. Nur die fertigen Berichte zu lesen wird aber irgendwann langweilig, schon länger will ich mich selbst an so etwas versuchen. Dazu muss ich allerdings zugeben: Wenn es um das Thema Programmieren geht, hab ich höchstens gefährliches Halbwissen. Aber ich verstehe die Zusammenhänge. Ich kann einen Quelltext soweit interpretieren und den Kontext analysieren, dass ich verstehe, was eine Webseite oder ein Programm da veranstaltet. Ein kleines Wort zum Start noch: Ich bin da komplett neu, wenn ich also Fehler mache oder etwas falsch interpretiere, sagt mir bitte Bescheid, bevor ihr den Beitrag komplett niedermacht.

Zwei Dinge haben mir dabei deutlich weitergeholfen: Die Veröffentlichung des Buches „Practical Malware Analysis“ und ein Artikelauftrag der GameStar (noch nicht online, Link reiche ich nach). Im Artikel ging es u.a. darum, warum und wie sich Kriminelle Zugang zu den Konten der Spieler verschaffen.

MS Points und WoW Blaster

Vor allem auf YouTube finden sich massig Links zu „Hacks“ und „Generatoren“. Diese Programme versprechen nahezu alles, was man sich vorstellen kann: Microsoft Points, Gold für WoW, Spiele für Steam oder Origin. Der Modus Operandi ist nahezu immer gleich: Ein YouTube-Video zeigt das Tool in Aktion, die Beschreibung dazu enthält den Link zum Download und oft eine Geschichte. Diese erklärt wie ein „Hacker“ eine Schwachstelle bei Microsoft/Valve/EA/Blizzard gefunden hat und diese nun mit allen Nutzern im Internet teilt, etwa um gegen hohe Spielepreis zu demonstrieren oder um es „the Man“ einfach mal zu zeigen. Das Video unten ist so ein Beispiel: Ich habe es aus YouTube exportiert und hier wieder hochgeladen, um diesen Idioten keine zusätzlichen Views zu geben.

MS Point Generator

50 Prozent der Links führen zu Filehostern (Megaupload war bei meiner letzten Suche noch immer stark vertreten) und zum Download von Programmen. Die andere Hälfte gibt die (laut den Beschreibungen deutlich überlegenen Tools) nur frei, wenn mindestens eine Umfrage ausgefüllt wird. Überraschung: Selbst wenn man durch die Fragen durch ist, klappt das mit der Freigabe nicht, man möge doch noch eine weitere Umfrage ausfüllen usw usf. Deutlich seltener ist Social Engineering, wie etwa dieses Bild schön zeigt

Xbox Live Gold und MS Points

Ich finde den Hinweis am Ende nett: Kein Passwort eingeben (Braucht er auch nicht, weil er dank geheimer Frage und Antwort das Kennwort bequem zurücksetzen kann).

Die Apps sind alle relativ einfach: Man müsse nur Nutzername und Passwort eingeben, einen Knopf drücken und schon hat man Spiele/Gold/MS Points/usw. Ich hab mir eine isolierte virtuelle Maschine hergerichtet (teil meines Setups hier) und zwei Programme vorgenommen: den WoW Blaster und Microsoft Point Generator V5.

Beide sind offensichtlich in Visual Basic erstellt und laufen nur mit dem .Net Framework. Ich hab es zunächst mit Strings und IDA Pro probiert, beides liefert aber nicht wirklich aussagekräftige Ergebnisse. Ein wenig googeln hat mich zum MSIL Disassembler-Tool gebracht. Und hey, das Ding ist cool. Es zerlegt das Programm komplett und zeigt die Innereien als Plaintext.

Ziemlich schnell bestätigt sich mein Verdacht: Von wegen ausgefeiltes Hacking. Beide Apps nehmen die Daten der Nutzer, packen sie in eine E-Mail und verschicken sie über die Funktion „System.Net.Mail“ an den Macher der Malware. Interessant ist, dass beide den Google-SMTP nutzen. Hier zeigt sich dann meine fehlende Erfahrung: Ich weiß, dass irgendwo ein Passwort für den SMTP stecken muss, ich finde es allerdings nicht. Vielleicht habe ich mit einem gespooften DNS und Wireshark mehr Glück.

Der WoW Blaster macht noch ein wenig mehr als „nur“ die Zugangsdaten zu verschicken: Er nimmt sich die Hosts-Datei von Windows vor und biegt zahlreiche Einträge um. Googles-Mailserver, Yahoo, Comcast und RedTube (die Macher wissen, was WoWler brauchen…) werden alle auf eine IP in Portugal umgebogen, hinter der allerdings scheinbar nichts mehr läuft.

Hosts-Attacke

Soviel also zu meinem ersten Versuch mit Malware und Disassemblierung. Ich find es spannend und versuche dranzubleiben – das Buch ist eine großartige Hilfe und vielleicht wird daraus ein schönes neues Fachgebiet.

Achtung. Der Mediaplayer Video LAN  ist in der Version 2.0 “Twoflower” endlich zum Download zu haben. Umsonst. Unter anderem gibts besseres Decoding, neue Codecs, GPU-Support usw usf. Worauf wartet ihr? Upgraden. 

Unglaublich. So riesiger Fall von Nutzerfehler. Aber von vorne:

Seit gestern abend hatte ich Probleme im Netzwerk. Alle Geräte, die mit dem WG-Router per Ethernet oder 5GHz-WLAN verbunden waren, kamen einwandfrei ins Web. Alle Geräte, die per 2,4 GHz WiFi im Netz hingen (darunter Notebooks, iPad, Android-Phones und SIP-Telefon) erhielten zwar brav eine IP per DHCP aber eine Verbindung ins Netz kam nicht zustande. Mist.

Aber woran liegt es? Router wurde zurückgesetzt, Internet erfolglos durchkämmt, nichts.

Bis mir auffiel, dass ich ja vor einigen Tagen für einen Artikel DD-WRT auf einem zweiten Router installiert hatte. Um da rumzubasteln. Und idiotischerweise die gleiche SSID vergeben habe (warum auch immer…). Und der Router steht hier im Zimmer (ohne WAN-Verbindung). Und weil dessen Signal stärker ist als das Signal des Internet-Routers im Wohnzimmer verbinden sich die Geräte brav mit dem.

So was blödes. Klarer Fall von Pebcak. Oder einem Problem im Layer 8.

Schönes Wochenende.

Mein guter Freund Jürgen, der drüben bei den Bitblokes, schenkt sich zum Geburtstag was besonderes: Er stiftet einen Schreibwettbewerb für Schulen, in dem Schüler Open-Source-Projekte erklären können, die im Unterricht zum Einsatz kommen. Und nein, es geht nicht nur um Ruhm und Ehre, Jürgen selbst schreibt 200 Euro für die Klassenkasse aus, dazu kommen Buchpreise von O’Reilly und Terrashop.

Was das mit dem Blog hier zu tun hat? Ganz einfach: Zum einen finde ich, dass dies eine gute Idee ist, die ensprechend verlinkt werden sollte um Aufmerksamkeit zu erhalten. Zum zweiten bin ich einer der Juroren.

Also: Wer hier mitliest, selbst noch SchülerIn ist oder eine/n SchülerIn kennt und in deren Schule Open-Source-Projekte genutzt werden, dann flugs rüber zum Jürgen und sich bewerben.

Einer der größten Erfolge meines Comic Con Besuchs (neben den großartigen Artikeln) ist, dass ich auf dem Presseverteiler von Dark Horse Comics gelandet bin. Und da sind großartige Sachen dabei. Eine Sache vorweg: Ich bin auf dem englischen Verteiler, also kriege ich auch die Comics auf Englisch. Eins meiner bisherigen Highlights gehört in das Star-Wars-Universum, der Titel lautet Darth Vader and the Lost Command (Amazon-Link). Das schöne ist, dass es diese Geschichte nicht nur als einzelne Comics gibt, sondern in einem schönen Hardcover (den ich nicht beurteilen kann, ich hatte aber die PDF-Version davon als Review-Material).

Darth Vader and the Lost Command (Quelle: Dark Horse Comics)

Die Geschichte siedelt kurz nach dem dritten Teil von Star Wars an (als Star Wars III, Revenge of the Sith, nicht Star Wars VI Return of the Jedi). Anakin Skywalker ist Geschichte, Darth Vader ist geboren. Dennoch ist die Verwandlung nicht komplett abgeschlossen, Vader quält noch immer die Erinnerung an seine verlorene Liebe, Padme, inklusive Halluzinationen und Flashbacks. Dennoch kommt seine dunkle Seite immer stärker zum Vorschein, was dem Imperator nur recht ist, schließlich hat er einige Aufgaben für seinen Jünger. Vader soll in den Ghost Nebula reisen und dort eine verschollene Expedition aufspüren. Angeführt wird diese von Admiral Garoche Tarkin. Tarkin? Richtig, es handelt sich um den Sohn von Groß-Moff Wilhuff Tarkin, der Star Wars Fans eher als sturer Kommandant des ersten Todessterns in Erinnerung sein dürfte. Tarkins Abneigung gegen Vader ist auch hier schon spürbar, dem Imperator ist das gerade recht. Ohne zu viel Spoilern zu wollen enthält die Geschichte natürlich einige Windungen, inklusive Verrat, Machthunger und Enttäuschungen.

Was mir aber bei The Lost Command sehr gut gefallen hat, ist wie der Wandel von Anakin zu Darth Vader weiter beschrieben wird. Auch wenn ihn noch Zweifel plagen, Darth Vader ist ein eiskalter Hund, was sich beispielsweise zeigt, als ihn ein Stormtrooper fragt, was mit den Gefangenen einer vorherigen Schlacht geschehen soll – Vader antwortet eiskalt „Drown Them“. Man merkt auch, wie in der Geschichte immer weiter Richtung dunkler Seite rückt. Geschrieben wurde The Lost Command übrigens von Haden Blackman. Der kennt sich im Star Wars Universum gut aus, hat er doch zahlreiche Bücher (etwa den The New Essential Guide to Weapons and Technology) geschrieben und war auch für die Story des Spiels „Force Unleashed“ mit verantwortlich war. Kein Wunder also, dass sich The Lost Command so schön in den Star Wars Kanon einfügt.

Wichtig an einem Comic ist natürlich auch der Zeichenstil. Bei The Lost Commando habe ich da wenig Grund zu Meckern. Vor allem die Kampfszenen sind dynamisch in Szene gesetzt. Vader beispielsweise ist dynamisch in seinen Bewegungen (ganz anders als etwa im Intro zum Spiel „Star Wars: Force Unleashed“). Der gute Zeichenstil von Rick Leonardi setzt sich bei den Sturmtrupplern fort und auch die Menschen ohne Helm oder Maske wirken gut.

Darth Vader and the Lost Command - Beispiel (Quelle: Dark Horse Comics)

Fazit:

Star Wars: Darth Vader and the Lost Command ist eine schönes Comic für alle Star Wars Fans. Das tolle daran ist, dass die Geschichte weitergesponnen wird – und zwar nicht in dieser (meiner Meinung nach) langweiligen Old Republic, sondern zeitnah vor Episode IV. Vaders Abgleiten zur dunklen Seite der Macht ist lesenswert, vor allem, so finde ich, erklärt die Geschichte auch, warum Luke am Ende von Episode VI überhaupt zu ihm durchkommt, seine menschliche Seite berührt und damit das Ende des Imperators besiegelt. Ja, das mag weit hergeholt sein, aber wenn man The Lost Command gelesen hat, dann wirkt Vader irgendwie verständlicher.

Ich bin immer wieder überrascht, wie viele Probleme Chkdsk aus der Welt räumt. Großartig. Sollte euer Rechner mal zicken – einfach chkdsk laufen lassen. Hat bei mir schon mehrfach geholfen. 

Das ganze hat aus Dummheit angefangen (wie die meisten großartigen Sachen). Ich hab im Rewe einen Döner in der Kühltruhe gefunden und musste den Ausprobieren. Zum Glück war das Kamerakind Marina gerade daheim, daraus wurde der Test zu Abbelen’s ungedrehtem Döner. Huch.

Als nächstes folgte Enexy, ein Riegel für mehr Energie sowie Volt, der etwas maue Nachfolger der Jolt-Cola.

Inzwischen sind wir bei der vierten Folge, und ich konnte erstmals die Clube Mate (gesprochen etwa gluuub Maaaadthe) ausprobieren. Video ist hier:

Ohboyohboyohboyohboy – 2012 wird großartig. Zumindest wenn es so weitergeht, wie es gestartet hat. Was ich meine? Die WPS-Lücke, die Stefan Viehböck zwischen den Jahren in diesem Blogeintrag dokumentiert hat. Wer es noch nicht gelesen hat: WPS steht für Wi-Fi Protected Setup, eine Technik, die das Wi-Fi-Konsortium nachträglich eingeführt hat. Mit Hilfe von WPS kann man Geräte mit einem Knopfdruck oder einer PIN zu einem sicheren WLAN hinzufügen. Das ist beispielsweise dann praktisch, wenn der Admin einen richtig langen Schlüssel für die WPA/WPA2-Verschlüsselung vergibt – der Nutzer muss nur einen Knopf drücken oder eine PIN eingeben.

Insgesamt gibt es drei verschiedene Implementierungen von WPS:

1. Push-Button – dabei wird am Gerät ein Knopf gedrückt, anschließend kann sich der Client durch die Eingabe der PIN verbinden.
2. Internal Registrar – der Admin gibt die PINs des Zielgerätes im Webinterface des Routers/Access Points ein
3. External Registrar – der Router/Access Point lauscht ständig in einem unverschlüsseltem Seitenkanal auf die richtige PIN – wird sie eingegeben, hat der Angreifer Zugriff auf das WLAN

Wie die meisten schon erkannt haben dürften, die anfällige Variante ist Nummer 3. Das nette gefährliche daran ist, dass fast alle Routerhersteller die External Registrar PIN Version verwenden (Ausnahme ist AVM, die haben laut eigener Angaben nur WPS Nummer 1). Die meisten anderen dagegen setzen fröhlich die externe PIN-Methode ein. Ein Hinweis ist beispielsweise, wenn auf der Rückseite ein PIN aufgedruckt ist.

Inzwischen gibt es drei verschiedene Tools, mit denen man die WPS-Lücke selbst austesten kann. Da wäre zum einen WPScrack, ein Proof-of-Concept-Tool von Stefan Viehböck; Reaver, ein Tool von Craig Heffner und Theiver, ein Fork von Reaver.

Ich spiel seit einigen Tagen mit der Sicherheitslücke rum, die Kombination BackTrack-Linux 5 R1, ein Alfa AWUS036H und die Tools hat sich als ziemlich perfekt erwiesen. Natürlich nutze ich für den Test nur eigene Router, wer mit den Tools auf fremde Geräte losgeht, der macht sich definitiv strafbar – nur so als Hinweis. Gottseidank hab ich genügend Geräte hier, mit denen ich das ausprobieren kann. Grundsätzlich dauert es von ein paar Minuten bis hin zu mehreren Stunden, meist finden die Tools aber den passenden Schlüssel.

Ziemlich früh dachte ich, dass es sehr cool wäre, wenn es eine zentrale Liste mit angreifbaren Geräten ziemlich cool wäre. Und, es gab noch keine. What? Sehr cool. Also hab ich flugs ein öffentliches Google Doc erstellt und über die üblichen Wege – Twitter, Hacker News und Reddit, verbreitet. Nach er ersten Troll-Attacke hab ich das Ding dann geschlossen und ein Formular erstellt, über das man neue Geräte einreichen kann. Das läuft inzwischen relativ gut – inzwischen sind 36 Geräte in der Liste. Klar, das reicht noch nicht für eine Studie, es gibt aber schon einen sehr netten Überblick. Besonders schlecht scheint die Implementierung in Geräten von Linksys zu sein – einzelne Nutzer melden, dass der Router sogar noch anfällig ist, wenn die WPS-Funktion im Webinterface abgeschalten wurde – das ist wirklich nachlässig. Wer übrigens eigene Geräte ausprobiert, der kann gerne melden, wie sich sein Router verhält – der Link zum Formular ist im Google Doc.

Wer mehr über die Lücke lernen möchte, dem empfehle ich meinen Artikel auf der PC-Welt, oder die Linksammlung, die im Google Doc mit drinhängt.

Und zum Thema WPS und eigenes Netz sichern: Da hat Peter Lustig vom Löwenzahn die richtige Idee

Meine Freundin scheint hier mitzulesen. Nur so kann ich mir erklären, wie sich unter meinem Weihnachtsbaum der Lego Bausatz der “Executor”, Darth Vaders Flaggschiff einfand. Unglaublich. Ich hatte ja bereits hier über das Lego-Modell des Super-Sternzerstörers geschrieben, das aus 3152 Teilen besteht und aufgebaut knapp 1,20 Meter lang ist.

Egal, das Ding ist da und will aufgebaut werden. Ich hab inzwischen angefangen (wann ich fertig bin? hahahahaha) und ich kann ein paar Dinge bereits teilen:

• Lego verlernt man nicht. Wer als Kind oder Jugendlicher Modelle gebaut hat, der hat diesen “Ah, Das Teil hier ist das richtige, da brauch ich die Knöpfe oben nicht mehr zählen” Blick immer noch – oder er kommt nach kurzer Zeit wieder.
• Es macht verflucht süchtig. Ganz ehrlich. Man fällt sofort in diesen “nur noch eine Seite, dann hör ich auf”-Modus. Wie bei einem guten Videospiel.
• Man sucht immer nach Bauteilen, die man gerade in der Hand hatte.

Nachdem ich gestern viel zu lange an der Bodenplatte gebaut habe (aber sie ist fertig. Hot Damn), bin ich jetzt ein wenig müde, weswegen Blogeintrag ein wenig kürzer aus. Aaaaber, dafür gibt es eine ausführliche Bilderstrecke. Bitteschön:

[Show as slideshow]

Ich werde meinen Baufortschritt natürlich weiter dokumentieren und euch auf dem Laufenden halten.

Über Facerbook kam heute morgen ein überraschend guter Artikel zum Thema Adblocker rein:

Adblocker – ein Kollektivgutdilemma bei Weltraumer.de.

Darin geht es nicht nur um den neuen Ansatz von Adblocker, dass sie künftig bestimmte Werbung zulassen möchten, sondern auch um den Einsatz der Werbeblocker allgemein.

Mir ist klar, dass das ganze Thema Zündstoff hat, Adblocker sind nichts, was Verlage und Medienhäuser mögen, schließlich geht es hier ums Geld. Mir ist auch klar, dass Nutzer nur eine gewisse Toleranzschwelle für Werbung haben. Ist die einmal überschritten, etwa durch Overlays, Underpops usw usf. Dann ist der Griff zum Adblocker nicht mehr weit (Chrome und Firefox – übrigens die Browser, die von nahezu allen Verlagen hoch gelobt werden – machen es ja einfach, beim IE ist es mit den Tracking Protection Listen ein wenig komplizierter).

Fatal ist, dass ein einmal installierter Adblocker kaum mehr runtergeworfen wird. Einmal drauf und weg ist die Werbung – da sagt keiner nein.

Wie sieht es bei euch aus? Nutzt ihr Adblocker oder seid ihr brave Idioten (so wie ich)?

via Frau Schmitz