0×1337.de_blog about security, open source, music and revolution.


#!/bin/bash
#simple uplink finder. Returns the first device to be able to ping 8.8.8.8
for i in $(ifconfig |grep encap |cut -f 1 -d ' '|grep -v lo); do
if ping -I $i -c 1 -w 20 8.8.8.8 > /dev/null; then echo $i; exit 1; fi
done


Das Puzzle um den “in Haft verstorbenen” Matthias “3×1t” L. fügt sich mehr und mehr zusammen. Fragt sich was lernt man als junger Hacker aus der ganzen Sache?  Für mich gibt es kaum noch begründeten Zweifel, dass VZ 3×1t mit diesem Vorwand nach Berlin lockte um ihn hier “inflagranti” verhaften zu lassen. Sicherlich kann man argumentieren, dass 3×1t sich in der Sache mehr als naiv angestellt hat und vermutlich auch einfach die Aufmerksamkeit gesucht hat.  Aber allen anderen gegenüber, die noch aus nonkommerziellen Zwecken vz-Crawler betreiben (3×1ts crawler war weder der erste, noch wird er der letzte gewesen sein) ist die Lektion, die Holzbrinck / vz und damit lehrt eindeutig: Keine Kooperation mit uns, wir sind hinterhältige [hier beliebige Beleidigung einfügen].

Immerhin einer der nicht so vergessen wird wie viele der anderen. Bei den ganzen Autounfällen und wo sie sonst sterben ist es ja auch gar nicht so wichtig wer sie waren oder was sie gerade herausgefunden hatten, aber in diesem Fall ist das ganz und gar nicht so und passierte direkt vor den Augen der Justiz.

Mit Argwohn habe ich die Entwicklung um den jungen (vermeintlichen) Studivzcrawler verfolgt, der wohl wegen des Versuches mit öffentlich einsehbaren Informationen eine Firma zu erpressen in das Fadenkreuz der Justiz geriet. Statt aber nun dem offensichtlichen Tatbestand des groben Unfugs nachzugehen, versuchten die Vollprofis von der Polizei und Staatsanwaltschaft den Jungen tatsächlich wegen Erpressung dran zu kriegen. Soweit musste der Junge also kalkulieren mag man sich denken… Darf man auch, in dem Moment wo der Fall jetzt aufgeklärt wird und z.b. klar ist dass es sich tatsächlich um den Erpresser handelte.

Mittlerweile kann man gerüchteweise davon ausgehen dass er noch nichteinmal den Datenklau selber begangen hat, und nur als Hacker verschrien wird. Aber solange die SA (Staatanwaltschaft) nicht upfront mit Fakten und Beweisen ist, kann man da ja nur spekulieren. Auch die Sache mit dem Selbstmord wird in der dpa Meldung meines Wissens gar nicht erwähnt. die Formulierung lautet: “Tot aufgefunden“. Auf der einen Seite habe er die Erpressung nach Verhör durch die Polizei “zugegeben” auf der anderen Seite wurde er angeblich vor Ort und quasi inflagranti verhaftet. Vielleicht wurde er aber auch einfach nur von Studivz mit einem Jobangebot dahin gelockt und musste als Sündenbock hinhalten. Alles gut möglich wenn man immer so halbherzige überinterpretierte Aussagen bekommt. Die wahren Verbrechen… die kommen jetzt (more…)

Nachdem #Zensursula und verschiedene andere den Kinderpornographen den ganzen Massenmarkt!!1 kaputt gemacht haben, weichen mehr und mehr KiPo Hoster auf den Mars aus. Und die Konsumenten fahren in Länder wie die Mongolei, Mexiko oder andere dritte Welt Staaten in denen nicht in die Netzneutralität eingegriffen wird. Deswegen, und ich möchte diese Forderung hier mit Nachdruck unterstützen, fordert Interpol jetzt eine globale Sperrliste “Man kann es einfach nicht hinnehmen dass diese grünhäutigen Marsmenschen mit armen, oft von den Eltern abgekauften, Menschenkindern ein unglaubliches Geld machen” so Hans Peter Wurst von Interpol “Aus diesem Grund”, so Wurst weiter “haben wir uns überlegt, dass wir ein ‘Stoppschild’ einführen - dann kann keiner mehr diese Seiten angucken !!1″

How to f*ck security-concepts… Well, the company I currently work for, needs to exchange medical data with laboratories and doctors around the country through some sort of secure channel. The process is basically as simple as fetching a number of files and importing them into the respective software at our client’s lab, sometimes even upload their results, so that we can re-import. Before I appeared on the stage, my company paid an external IT-Consultant “Intelligence for New Technologies” (sic) to implement a secure and robust solution. Here’s how they did it / How to effectively dismantle any kind of security for your client:1.  Setup an unrestricted VPN Tunnel into your client’s Network2. Write a script on the other end that dials the VPN and exchanges Data via SambaSo far so good. Except for the thing using Artillery to hunt mice.3. Use the Domain-Admin-Password to connect and save it in plaintextCongratulations, you have effectively circumvented lines of defense, in case someone reads the script and at least issued (passive) administrative powers to third parties.