Die Milw0rm Seite milw0rm.com ist ja schon laenger von der Bildflaeche verschwunden. Nachdem diese dann den Betrieb eingestellt hatte, uebernahmen die Jungs von Inj3ct0r die Milw0rm Datenbank. Diese war eine Zeit lang ueber die Adresse inj3ct0r.com erreichbar. Jetzt sind sie anscheinend wieder umgezogen: 1337day.com.

Weblinks

• 1337day.com
• Inj3ct0r bei Twitter

Hier eine kleine Liste mit Erfahrungen, die ich die letzten 10 Jahre beim Programmieren gesammelt habe:

• Dokumentation: Ein gut kommentierter Code ist die halbe Miete. Spaetestens nach ein paar Wochen, kennt man den eigenen Code nicht mehr.
• Sauberkeit: Ein gut lesbarer Code ist immer von Vorteil. Ich verstehe die Leute nicht, die beim Programmieren kein System haben und den Code irgendwie einruecken. Oder gar nicht einruecken. Wenn Code veroeffentlicht wird und vorallem beim Team-Work, muss ein Standard vorhanden sein. Ich bin meistens sehr kleinlich, wenn es um alten Code geht. Wenn ich eine Funktion habe, ich nicht sauber ist, programmiere ich sie von NULL auf neu. Das trifft auch auf ganze Programme zu. Ich bin immer sehr genau, wenn es um die Formatierung von Code geht. Zur Sauberkeit von Code gehoert auch die richtige Benennung fuer Variablen, Dateinamen und Ordnernamen. Auch das Loeschen oder Auskommentieren von Test-Funktionen und Test-Klassen. Ich kann Leute nicht verstehen, die z. B. eine wichtige Konfigurationsvariable $theVariable nennen. Oder einen Ordner ordner. Soetwas wird meinstens von schlampigen Anfaenger gemacht. Ein gut verstaendlicher und erklaerender Name ist die halbe Miete. Es bringt auch der schoenste Code nichts, wenn darin alle Pfade absolut sind. Eine relative Pfadangabe ist immer von Vorteil.
• Lesbarkeit: In manchen Sprachen ist es moeglich, z. B. eine IF-Bedingung ohne geschwungene Klammern zu schreiben. Mit dieser Form wird der Code viel schneller abgearbeitet.

  if(true)
  print "true";

  In Perl wuerde man es wie folgt schreiben:

  print "true" if 1;

  Das beeinflusst aber die Lesbarkeit eines Codes. Vorallem in Perl, wo es die Allzweck-Variable $_ gibt, sollte man davon nicht gebrauch machen. Andere Programmierer, die sich spaeter den Code anschauen, koennen alles besser lesen. Dadurch werden Fehler vermieden. Die hier gezeigte IF-Bedingung in Perl kann in grossem Code schnell untergehen und uebersehen werden. Vorallem koennen PHP-Programmierer, die kein Perl koennen, Perl viel besser lesen.

• Programmiersprachen: Ich lerne meistens neue Programmiersprachen besser, wenn ich sie auch fuer etwas einsetzen kann. Es muss einen Sinn ergeben, wenn ich eine neue Programmiersprache lerne. Genauso verlerne ich auch Programmiersprachen, wenn ich nicht regelmaessig verwende. Warscheinlich muesste ich mich, wie damals, genauso wieder in Pascal einlesen, wenn ich es jetzt verwenden wollte. Vorallem sind Programmiersprachen leichter zu lernen, wenn eine aehnliche schon bekannt ist. Das hab’ ich bei z. B. Java und C++ und bei PHP und Perl gemerkt.
• Klassen: Ein jeder guter Programmierer muss mit Klassen umgehen koennen, wenn das die jeweilige Programmiersprache unterstuetzt.
• Freizeit: Programmierer, die nur in ihrer Arbeitszeit programmieren, sind meiner Meinung nach keine richtigen Programmierer. Sicherlich, ich programmiere auch nicht staendig in meiner Freizeit. Aber haette ich meine Freizeit nicht ueberwiegend dem Programmieren gewidmet, wuerde ich warscheinlich heute als Busfahrer arbeiten. Das heisst ich habe mein Hobby zum Beruf gemacht.
• Homepage: Da der Computer und das Internet fuer viele Menschen zum Alltag gehoert, benoetigt jeder gute Programmierer eine eigene Homepage. Ich spreche nicht von einer Twitter- oder Facebook-Seite, sondern von einer richtigen Homepage. Eine Seite, auf der man den anderen Cyber-Junkies seine Arbeiten zur Verfuegung stellt.
• Neue Techniken: Fuer alles offen, das ist immer gut. Wenn man immer offen fuer neue Techniken ist, lernt man am meisten dazu.
• Best of the Best: Man darf niemals denken, dass man der Beste ist. Es wird immer jemand anders geben, der noch besser und noch mehr ueber das Programmieren und ueber Computer weiss, als man selbst.

In letzter Zeit kursieren viele Artikel ueber den 10 Jahre alten Browser Bug im Internet. Also eigentlich ist es ja kein Fehler (Bug), sondern eher ein Browser-Feature. Man kann jedoch nicht einfach so den ganzen Browser-Verlauf in einem auslesen, wie es vielleicht einige glauben. Das geht natuerlich nicht.

Aber was genau macht dieser Hack eigentlich? Mithilfe von JavaScript wird zuerst ein Link erzeugt. Dieser wird, jenachdem ob der Link zuvor schon einmal besucht worden ist, vom Browser dementsprechend eingefaerbt. Danach liest das JavaScript die Farbe des Links aus. Ein besuchter Link hat eine andere Farbe als ein noch nie besuchter Link. So koennte dann ein Angreifer herausfinden, ob ein User schon einmal auf einer bestimmten Internet-Seite war oder nicht. Das heisst, der Angreifer muss genau die URL kennen. Auch die genaue URL einer Unterseite. War ein User schon einmal z. B. nur auf “http://fox21.at/”, wird die Ueberpruefung auf “http://fox21.at/irgendeineUnterseite” nicht anschlagen, weil es einfach 2 unterschiedliche Zeichenketten sind. Das heisst, die URL, die ueberprueft werden soll, muss oeffentlich fuer jedermann zugaenglich sein. Aber dennoch ist dieser Bug gefaehrlich, da man so von jedem Internet-User, der eine gefaehliche Seite besucht, ein Online-Profil erstellen kann.

Hier ist mein Beispiel. Was dem Script aber noch fehlt, ist die Antwort, die die ganzen Informationen zurueck zum Server schickt. Anders gesagt, mein Script ist ungefaehlich. Gefaehrlich sind nur Seiten, die das Ganze ohne Wissen der User im Hintergrund machen, und die Informationen ueber die besuchten Seiten wieder zurueck zum Server schicken.

Was man damit noch machen koennte, alle Rapidshare-Links auslesen und alle Downloader verhaften. Ok, das liest sich jetzt sicher etwas brutal und uebertrieben. Aber mit diesem Hack kann man so einiges ueber sehr viele Internet-User herausfinden.

Wer also etwas mehr Anonymitaet im Internet haben will, sollte im Firefox den Privaten Modus aktivieren. Natuerlich kann man auch ganz einfach JavaScript deaktivieren. Stay secure.

Weblinks

• CSS History Hack
• I know where you’ve been
• Start Panic
• Have your friends been there?

Das gilt natuerlich nur fuer iPhone-Besitzer, die ein Internet-Paket zu ihrem iPhone gekauft haben. Schaetzungsweise sind das 99% aller iPhone-Benutzer. Weil, wozu braucht man ein iPhone? Nicht zum Telefonieren oder SMS schreiben. Nein! Heutzutage liest man mit seinem iPhone E-Mails oder surft bequem von ueberall im Internet. In einem Forum hat mich einmal jemand gefragt, was mir ein iPhone bringt, wenn ich das Internet damit nicht benutzen kann. Mittlerweile habe ich einen Internetzugang am iPhone. Diesen verwende ich aber nur, wenn ich ihn auch wirklich benoetige. Und wenn, dann auch nicht lange.

Es heisst zwar immer Wer lesen kann, ist klar im Vorteil. In dem Fall heisst es aber eher Wer mit nmap umgehen kann, ist klar im Vorteil. Eine der IP-Adressenbloecke von A1/Telekom ist von 89.144.224.0 bis 89.144.255.255. In diesem sind schaetzungsweise 15 bis 20 iPhone-User staendig online, d. h. man kann direkt ueber das Internet auf diese iPhones zugreifen. Der Zugriff ueber SSH (Port 22) ist moeglich. Das root-Passwort des iPhones ist schon lange kein Geheimniss mehr: alpine. Ein boeswilliger Angreifer koennte somit theoretisch diesen iPhone-Besitzern erheblichen Schaden zufuegen, indem er tausende SMS verschickt, private Bilder vom iPhone herunterlaed und im Internet veroefentlicht, gefaelschte E-Mails an Kunden schickt, Programme installiert/deinstalliert, Notizen liest, Kalendereintraege liest oder das Konto extrem belastet. Und das ist erst der Anfang. Alles auf Kosten eines unwissenden iPhone-Besitzers, der von dem all nichts mitbekommt. Spaetestens, wenn er die Rechnung am Tisch liegen hat und sich wundert warum er hunderte von Euro nach zahlen muss, weil das Downloadlimit ueberzogen worden ist.

Eine detailiertere Liste aller IP-Adressen-Bloecke befindet sich auf RIPE.

Fazit

Es gibt zwar heute jeder mit seinem coolen iPhone 3GS an, mitdem man um nur 9 Euro im Monat mobil surfen kann. Aber ob man es wirklich braucht, dass man ueberall online ist, sei dahingestellt. Sicher ist: Es weiss fast keiner, dass es gefaehrlich sein kann, wenn man mit dem iPhone online surft. In diesem Sinne, stay secure.

Weblinks

• Gehackte iPhones via Mobilfunk-Netz gehackt
• Erster iPhone-Wurm unterwegs

In letzter Zeit fing ich wieder an mehr mit C++ zu programmieren. Ich verwende die Entwicklungsumgebung Dev-C++ 4.9.9.2 von Bloodshed Software. Leider wird diese nicht mehr weiterentwickelt. Desswegen neigt Dev-C++ manchmal dazu abzustuertzen oder Fehlermeldungen zu produzieren, die unlogisch sind. Dennoch ist Dev-C++ meine bevorzugte IDE wenn es um C++ geht.

Dieser Keylogger ist also in C++ geschrieben. Im ZIP-File existiert sowohl der Source Code, als auch ein vorkompiliertes EXE-File. Dieser Keylogger wurde sowohl auf Windows XP Premium als auch auf Windows Vista Home Premium erfolgreich getestet.

An dieser Stelle moechte ich noch einmal darauf Hinweisen, dass ich keine Verantwortung fuer die Schaeden, die dieses Programm anrichten kann, uebernehme.

Deinstallation

Die Deinstallation ist eigentlich ganz einfach. Zuerst im Task-Manager den keylogger.exe-Prozess beenden. Danach einfach die keylogger.exe loeschen. Es wird KEIN Autostart angelegt. Es muss die keylogger.exe nicht unbedingt geloescht werden, da es nicht wirklich eine Installation in diesem Sinne gibt.

Info zur Kompilierung

• OS: Windows Vista Home Premium
• IDE: Dev-C++ 4.9.9.2
  
• Compiler: MinGW (GCC 3.4.2)
• Lizenz: GNU GPL v3

Download

• keylogger-1.0.0-win32.zip

1. Als erstes mit root einloggen und in das Verzeichnis /etc/apache2/ssl wechseln.
2. Neuen privaten Key erzeugen: openssl genrsa -out fox21at.key 4096
3. Certificate Signing Request (CSR) anlegen: openssl req -new -key fox21at.key -out fox21at.csr
4. Self-signed Certificate erstellen: openssl x509 -req -days 3650 -in fox21at.csr -signkey fox21at.key -out fox21at.crt
5. Fertig!

So einfach geht das!

Natuerlich muss der Pfad dann noch in der Apache-Konfiguration eingetragen werden.

Unter http://pub.fox21.at/dictionary/ gibt es diese Liste. In dieser Liste steht in jeder Zeile ein Wort, nachdem gesucht werden soll. Rainbowcrack ist natuerlich in mancher Hinsicht effezienter. Aber alles hat seine Vor- und Nachteile. Der Nachteil von Rainbowcrack ist, dass er es nur mit einer bestimmten laenge der Woerter aufnehmen kann. Ab 9 Buchstaben dauert die Generierung der Rainbowtables mit einem handelsueblichen PC schon ein paar Jahre. Beim DictionaryCrack koennen die Woerter jedoch beliebig lang sein. Jedoch darf man sich nicht sicher sein, dass ein Wort mit dem DictionaryCrack gefunden wird. Selbst wenn das Wort noch so kurz ist, solange es nicht im Woerterbuch vorkommt, wird es auch nicht gefunden.

Benoetigte Perl-Module

• Digest::MD5

Installation

1. Herunterladen von dictionarycrack-1.0.0.zip und dictionary-001.zip
2. Entpacken mit unzip “*.zip”
3. Rechte setzen mit chmod 755 dictionarycrack.pl install.pl
   
4. Ueberpruefen ob alle Perl-Module installiert sind: ./install.pl

Verwendung

Das DICTIONARYFILE File muss im gleichen Ordner liegen, wie dictionarycrack.pl.

./dictionarycrack.pl DICTIONARYFILE HASH...

Beispiele fuer die Verwendung

Im ersten Beispiel wird die Datei dictionary-001.txt als Woerterbuch verwendet.

./dictionarycrack.pl dictionary-001.txt 5d41402abc4b2a76b9719d911017c592

Im zweiten Beispiel werden alle Dateien im gleichen Ordner verwendet, deren Namen die Zeichenkette “.txt” enthalten.

./dictionarycrack.pl .txt 5d41402abc4b2a76b9719d911017c592

Das dritte Beispiel zeigt, dass dem Script auch mehrere Hashes uebergeben werden koennen.

./dictionarycrack.pl .txt 5d41402abc4b2a76b9719d911017c592 25f9e794323b453885f5181f1b624d0b

Download

• dictionarycrack-1.0.0.zip
• dictionary-001.zip

Hier ein Auszug der Liste.

faith.hallelujah.com
www56.your-server.de
210.183.36.251
211.233.11.27
castle.inforos.ru
cli9.unete.com.bo
211.202.2.220
disco-megasimarik.de
web2.connexhosting.com
203.250.148.36

Die Zahl davor, ist die Anzahl der Versuche. Diese IP-Adressen werden von meinem Server geblockt. hosts_only.txt wird alle 15 Minuten automatisch aktuallisiert. Die Angreifer haben es in 90 % der Faelle mit einem Cross Site Script (XSS, Remote Injection) versucht. Meistens mit der HTTP GET Variable INCLUDE_FOLDER=URL oder ADMIN_FOLDER=URL. Wenn man sich die Liste genauer anschaut, dann wird man feststellen, dass ziemlich viele Russen dabei sind.

Normalerweise geb’ ich nicht einfach so andere IP-Adressen her, die auf meine Homepage zugegriffen haben. Aber in dem Fall mach’ ich eine Ausnahme. Diese Liste soll anderen Server Admins helfen, sich gegen diese Adressen zu schuetzen. Ich hab’ die meisten IPs in dieser Liste geblockt. Man sollte als Admin zumindest die ersten 10 davon blocken. Manche davon versuchen es nur einmal. Manch’ andere Versuchen es aber auch oefters, mit allen Mitteln.

Das Script ist derzeit noch nicht soweit ausgereift, um damit jede Art von Apache Log auszulesen. Das Format der Apache Logs ist indivituell anpassbar. Desswegen auch kein Release dieses Scripts.