Gerade war eine Pressekonferenz der Jungs von Social-Engineer.org (aktuell down), die auf der Defcon den Social Engineering CTF Contest abhalten. Sie konnten nicht zu sehr ins Detail gehen, da der Contest noch einen weiteren Tag geht – allerdings kann man bereits jetzt absehen, dass Social Engineering noch immer sehr einfach ist.
Insgesamt haben sie zwischen 50 und 70 Einzelpersonen in großen Unternehmen (wie Google, Microsoft, Pepsi, BP oder Shell) angerufen, nur 3 hätten sie sofort abgewiesen und aufgelegt.
Die anderen Opfer hätten den Anrufern zahlreiche Infos gegeben, etwa die jeweiligen Versionen der Browser, Adobe, Office, Outlook usw – de Regeln des Contests verboten zwar das Fragen nach sensiblen Daten (wie Passwörter, Social Security Nummer usw), allerdings haben die Veranstalter keinen Zweifel, dass die Opfer auch diese herausgegeben hätten.
Mich hat eigentlich nur überrascht, dass Social Engineering noch immer so gut funktioniert – der Contest geht noch einen Tag, morgen dann mehr.

Eins der Dinge, das mich immer interessiert hat, ist Lockpicking (Schlösser knacken?)

Praktischerweise gibts auf der Defcon eine komplette Skybox, in der sich Toool festgesetzt hat. Dort gibts nicht nur Anfänger-Kits zu fairen Preisen, sondern auch massig Schlösser, Einführungen und Hilfen. Und wirklich, sobald man den Dreh mal raus hat, ist es gar nicht mehr so schwierig. Mein erstes Opfer war ein Samsonite Kofferschloss und ich habe etwa 20 Minuten gebraucht, dann war das Ding plötzlich offen. Sehr cooles Gefühl.

Jetzt weiter zum nächsten Vortrag.

Guten Morgen aus Las Vegas (natürlich abhängig davon, wann ihr das lest, aber irgendwo ist immer Morgen).

Ich bin seit drei Tagen in Vegas, die BlackHat ist gestern offiziell zu Ende gegangen und die Defcon beginnt in diesen Minuten.

Die Konferenzen waren unglaublich gut, schön technisch und tiefgehend, perfekt. Ich war unter anderem bei The Grugq, der erklärt hat, wie man mit einem speziell geflashten Motorola-Handy GSM-Basestations angreifen und Nutzer aus dem Netz kegeln kann. Ebenfalls interessant war der Craig Heffner Vortrag, über die DNS Rebinding-Attacke gegen Router.

Barnaby Jacks Angriff auf ATMs habe ich leider verpasst (sollte ich hier auf der Defcon aber noch zu sehen kriegen), das Video sollte man sich hier ansehen, sehr cool. Allerdings denke ich nicht, dass sich die Attacke so 1:1 auf deutsche Automaten übertragen lässt – der Zugriff auf die Dinger ist bei uns deutlich schwerer, imho. Ich war stattdessen beim @TheSuggmeister, der einen recht guten Social Media  Blackop Vortrag gehalten hat. Danach hat er ein von Tony Hawk signiertes Skateboard auf der Blackhat versteckt, das yours truley gefunden hat. HA. Sehr gut war auch der Beitrag der Lookout-Jungs zum Thema Mobile App Attack, da werd ich in jedem Fall noch was größeres machen (wahrscheinlich dann bei einem richtigen Magazin )

Großartig waren auch die Partys bisher, ich war zumindest bei McAfee, habe aber zahlreiche andere verpasst (Mozilla hat Milch und Kekse verteilt!)

Tag 2 der Blackhat war deutlich schwerer – auch weil ich nur vier Stunden schlafen konnte, drecksjetlag.

Neben einer guten Keynote, ein General A.D. hat versucht, Cyber-Warfare zu definieren, war ich unter anderem beim oben erwähnten Craig Heffner, hab mir einen Vortrag zum Thema Penetration Testing von virtuellen Maschinen angeschaut und über GSM-Attacken zusätzliche Infos gehört.

Außerdem war ich bei Aruba, die stellen und verwalten das WLAN netzwerk auf der Blackhat. Dazu gehören auch zahlreiche Attacken, in erster Linie mit Rouge-Hotspots (sprich Kismet und Hotspotter). Neue Angriffe gab es nicht, da setze ich aber hier auf die Defcon, die ist ja ein wenig, hm, hackigerer.

Fazit der ersten Blackhat: Sehr cool, aber auch sehr erwachsen. Gut durchorganisiert, sauber gekleidete Sprecher, zahlreiche Sponsoren. Die Defcon soll eine Art Gegenteil sein. Hier noch das Bild der Defcon-Badge:

Bis dann.

Heute morgen lag folgende E-Mail in meinem Postfach – die ist zu schön, als dass ich sie umtippen möchte:

“Der Versuch von Apple, RIM in Apples selbstgemachtes Debakel mit hineinzuziehen, ist nicht akzeptabel. Bei Apples Behauptungen über Produkte von RIM scheint es sich um einen bewussten Versuch zu handeln, die Öffentlichkeit über das Thema Antennen-Design irrezuführen und von der eigenen schwierigen Situation abzulenken. RIM ist weltweit führend im Antennen-Design und stellt seit über 20 Jahren effiziente und leistungsstarke Produkte zur kabellosen Datenübertragung her. In dieser Zeit hat RIM bewusst davon abgesehen, auf Designs zurückzugreifen, wie sie Apple im iPhone 4 genutzt hat, und stattdessen innovative Designs eingesetzt, die das Risiko von Verbindungsabbrüchen minimieren, besonders in Bereichen mit limitiertem Empfang. Eines ist sicher: Kunden von RIM brauchen keine zusätzliche Hülle für ihr BlackBerry Smartphone, um vernünftigen Empfang zu haben. Apple hat bewusst Design-Entscheidungen getroffen, für die das Unternehmen nun auch Verantwortung übernehmen sollte, statt zu versuchen, RIM und andere in eine Situation mit hineinzuziehen, die ausschließlich mit Apple zu tun hat.”

- Mike Lazaridis und Jim Balsillie (Quelle: Pressestelle RIM)

Was war passiert? Gestern gab Apple erstmals eine Pressekonferenz, in der sich der Konzern zum Empfangsproblem des iPhone 4 äußern will. Äußern hieß in diesem Fall überspitzt zusammengefasst: Habt euch nicht so, bei Samsung und RIM geht der Empfang auch runter, wenn man es auf eine bestimmte Weise hält. Apple ist es sogar nicht zu peinlich, eine eigene Website online zu stellen, die Nachweisen soll, dass das (angebliche) Empfangsproblem am Nutzer liegt.

Es wirkt fast, als fühle sich der Konzern aus Cupertino persönlich angegriffen, der Umgang mit dem Problem des neuen iPhone ist in jedem Fall alles andere als professionell. Zuerst wurde es abgestritten, dann war plötzlich ein Softwarefehler schuld, dann war es doch eine Hardwaresache, Steve Jobbs wollte kostenlose iPhone-Gummis verteilen und nun ist es plötzlich ein Problem, dass eigentlich gar keins ist, weil es ja überall vorkommen kann.

Natürlich mag das was dran sein – aber wenn die Affäre eins zeigt, dann dass Apple nicht damit umgehen kann, mögliche Probleme einzugestehen. Anstatt ein Austausch- oder Reparaturprogramm aufzusetzen, wie etwa Microsoft mit der Xbox und dem Red Ring of Death durchführt, wird eine Nebelkerze nach der nächsten gezündet. Klar, ein kompletter Rückruf wäre teuer, aber das ist doch nichts im Vergleich zu der Reputation, die man mit solchen kindischen Aktionen verliert. Und ich denke nicht, dass ein Austausch teurer wäre als diese seltsamen Versuche, ein offensichtliches Problem zu Kaschieren.

Oder liege ich da falsch?

-Mo

Ich dachte ja, dass mit dem digitalen Videoanschluss DVI eigentlich alles einfacher werden würde – wurde aber jetzt eines Besseren belehrt (gut, hätte man sich auch vorher informieren können). Ich wollte zwei Clients an einem KVM-Switch anschließen, diese Geräte sollen ein integraler Teil meines Netzwerktestszenarios werden – der Benchmark von Ixia ist schon da.

Problem war, dass die DVI-Stecker des KVM-Switch nicht auf den DVI-Stecker der Rechner passten. Auf den ersten Blick waren nur vier Pins zu viel, ich dachte schon ans abzwicken.

Glücklicherweise habe ich das nicht gemacht. Also, bei den Rechnern waren die Anschlüsse vom Typ DVI-D, beim KVM-Kabel ist es DVI-I. DVI-I hat nicht nur vier Pins mehr, laut der Wikipedia ist auch ein Anschluss länger als die entsprechende Aussparung bei DVI-D – ein Abzwicken hilft also nichts.  Daneben gibt es noch DVI-A, aber das brauch ich ja im Moment nicht.

Abhilfe kam dann vom Elektronikversender Reichelt, die bieten an sich passende Adapter an. Ich hab mal zwei bestellt und hoffe, dass das dann so funktioniert, wie ich mir das vorstelle.

Klar, das war jetzt kein hochnerdiger Blogeintrag – aber ab und zu muss man auch mal was schreiben, was einen nervt.