Kugelfisch Blog

…an sich ist leider nichts neues. Relativ neu ist jedoch die Art, wie das Urheberrecht auf Malware durchgesetzt werden soll. Symantec hat sich den Lizenzvertrag des Malware-Pakets `Zeus` aus Russland genauer angesehen. Viel lesenswerter als die Bedingungen an sich…

Der Käufer:

1. Hat kein Recht, das Produkt zu Zwecken zu verteilen, die nicht mit dem Kauf des Produktes in Zusammenhang stehen.
2. Darf den Bot-Builder [Teil der Malware] weder disassemblieren noch dessen Binärcode analysieren.
3. Darf das Control-Panel [Teil der Malware] nicht zur Kontrolle anderer Botnetze oder zu anderen Zwecken benutzen.
4. Hat kein Recht, Teile des Produkts Anti-Virus-Unternehmen zukommen zu lassen.
5. Stimmt zu, den Verkäufer für jegliche Updates zu bezahlen, sofern es sich dabei nicht um Fehlerkorrekturen handelt.

…ist die Beschreibung, wie die Rechte durchgesetzt werden sollen:

Im Falle einer Verletzung des Lizenzvertrages verliert der Kunde sämtliche Ansprüche auf technischen Support. Ausserdem wird der Binärcode des erstellten Bots sofort an Anti-Virus-Unternehmen geschickt.

…womit sich natürlich die Frage stellt, ob die Mitarbeit der Anti-Virus-Unternehmen nun gewünscht sei. Zum Einen wird damit gedroht, die Malware im Falle von Lizenzverletzungen einem dieser Unternehmen zukommen zu lassen, andererseits wird dies ausdrücklich untersagt. Es mag ja schon schwer sein, seine Urheberrchte auf vollkommen legale Produkte durchzusetzen - wie mag es dann in der selbsternannten `Szene` aussehen, wo jeder versucht, sich selbst auf Kosten anderer zu bereichern? Je nach Standpunkt düster, denn die Drohung hat offenbar nicht verhindern können, dass `Zeus` einige Zeit nach dem Erscheinen in diversen `Szene`-Boards getauscht wird.

…ist wohl eine passende Bezeichnung für das gegenwärtige Verhalten von RapidShare.com. Nachdem die Tatsache, dass man fremde Unternehmen Dateien direkt löschen liess, schon Wirkung zeigte, wurde nun auch RapidShare-eigener Content - genauer gesagt: der RapidGames-Mirror von `Frets on Fire` - gelöscht.

`Diese Datei darf nicht verteilt werden.` - warum sie dann auf RapidGames verlinkt ist, ist genauso fraglich wie die Auffassung, dass ein GPL-lizenziertes Spiel nicht verteilt werden dürfe…

…ist es leider nicht, dass die ISO am 1. April 2008 Microsofts `Office Open XML`-Format zur Standardisierung angenommen hat. So gibt es nun, da Microsoft auf keinen Fall auf die bestehende `Open Document Format`-Familie setzen wollte (warum auch, das könnte die Kompatiblität mit OpenOffice.org und anderen freien Office-Paketen fördern), zwei ISO-Standards mit nahezu identischen Zielsetzungen. Geld regiert die Welt, daher sind die genauen Umstände des Ergebnises etwas unklar. Einige Unregelmässigkeiten in nationalen Standardisierungsgremien traten auf, etwa ist nicht abschliessend geklärt, wie Norwegens Stimme bei einem Abstimmungsergebnis von 21 Gegnern und zwei Befürwortern als `JA` gezählt werden konnte, ebenso ist unklar, wieso das Gremium mancherorts, etwa in Schweden, aus einer Mehrheit an offensichtlich voreingenommenen Teilnehmern, beispielsweise Microsoft-Gold-Partnern, besteht.

Das Problem an Office `Open` XML ist der Umfang. Die Dokumentation umfasst grössere Mengen an Totbaumprodukten, 6000 Seiten Papier, um genau zu sein. Dieser Umfang, sowie diverse unklar oder gar nicht dokumentierte Funktionen machen es alternativen Office-Suiten praktisch unmöglich, das Format in seiner Komplettheit zu implementieren. Warum dann den ISO-Standard? Nicht etwa weil Microsoft die Interoperabilität fördern will, nein - sondern, weil immer mehr offizielle Stellen offen dokumentierte und standardisierte Formate verlangen.

…des deutschen Innenministers Wolfgang Schäuble. Ein Sympathisant hat dem Club ein Glas, das von Schäuble benutzt wurde, zugespielt. Angehörige des CCC haben ganze Arbeit geleistet, den Fingerabdruck rekonstruiert und in der Datenschleuder #92 veröffentlicht. Besagter Zeitschrift liegt auch eine fertige Fingerabdruck-Attrappe bei, die benutzt werden kann, um Schäubles Fingerabdruck auf diversen glatten Oberflächen zu hinterlassen. Dirk Engling alias Erdgeist, Sprecher des CCC, empfiehlt:

[...] die Abdrücke bei erkennungsdienstlichen Behandlungen, bei der Einreise in die USA, bei der Zwischenlandung in Heathrow, aber auch im örtlichen Supermarkt und - prophylaktisch - beim Berühren möglichst vieler Glasflächen zu benutzen.

Auch eine Wunschliste für ein biometrisches Sammelalbum verschiedenster Politiker - unter anderem Angela Merkel - wurde veröffentlicht, nebst einer Anleitung, wie Fingerabdrücke von Gläsern und ähnlichen glatten Oberflächen abgenommen und nachgebildet werden können. Der Fingerabdruck des Innenministers liegt in digitaler Form auch auf dem Webserver des CCC.

Es stellt sich natürlich die Frage, ob Fingerabdrücke von Politikern überhaupt veröffentlicht werden dürfen. Wenn man die Aussage des deutschen Innenministeriums, dass dass Bilder des Gesichts und der Finger in ihrer Bedeutung für die Privatsphäre im wesentlichen identisch seien, konsequent anwendet, kann dies klar bejaht werden - schliesslich wird der Presse auch nicht verboten, Porträts von Personen des öffentlichen Lebens zu veröffentlichen.

Schussendlich bleibt mir noch, dem Fazit des Chaos Computer Club…

Die Verwendung von Fingerabdrücken zur Identifizierung von Bürgern ist ein technischer und sicherheitspolitischer Irrweg, der so schnell wie möglich beendet werden muss.

…zuzustimmen, und darauf hinzuweisen, dass Datenschleudern sowohl als Einzelexemplar in gedruckter Form erhältlich sind, als auch im PDF-Format zum Download angeboten werden - wobei es noch etwas dauern kann, bis #92 eingestellt wird.

…gab dies aber vor. Ein Honeypot wurde eingerichtet und in `einschlägigen` Foren verlinkt. Der FBI-Server selbst enthielt keinerlei illegales Material (die verlinkte Datei war «verschlüsselt und nicht-pornografisch»), doch die Zugriffe wurden protokolliert und jeder, der sich verirrte, ob absichtlich oder nicht, bekam eine Hausdurchsuchung beschert. Einige Richter haben laut CNET dem Vorgehen des FBI zugestimmt und entschieden, dass der Besuch eines Links eine Absicht nahelege, an Kinderpornografie zu gelangen. Auch die Tatsache, dass der Angeklagte in diesem Fall bestätigterweise ein offenes WLAN betreibt, wurde nicht berücksichtigt.

In dieser Hinsicht scheint ein Anklicken eines Links schlimmer zu sein, als die Anstiftung zur Verbreitung von Kinderpornografie, wie es der FBI-Agent tat…

Havent’ seen her on the board before - if anyone has anymore, PLEASE POST.

…als er `seinen` Honeypot-Link verteilte.

Ein Dozent aus Pennsylvania, Roderick Vosburgh, wurde der Aussage seines Anwalts…

no reasonable jury could have found beyond a reasonable doubt that Mr. Vosburgh himself attempted to download child pornography

…zum Trotz angeklagt - er wird des Versuches, sich Kinderpornografie besorgen zu wollen, beschuldigt. Ein Thumbnail-grosses Bild mit zwei nackten Minderjährigen kommt erschwerend hinzu - da kann sogar die Tatsache, dass keinerlei weitere Bilder oder Videos sichergestellt werden konnten, getrost vernachlässigt werden…

…spricht man, wenn ein etwas fülliger Chefermittler der ProMedia GmbH freie, Creative-Commons-lizenzierte Musik von RapidShare löscht. Ein knappes Duzend Tage ist’s her, als ich mir ein solches Szenario rein theoretisch konstruiert habe, als aufgrund einer Computer-Bild-Reportage weithin bekannt wurde, dass ProMedia-Mitarbeiter Dateien bei RS.com direkt löschen können. Nun ist der GAU tatsächlich eingetreten, das Album «Das Kreft» des Netlabels Zellophon, das CC-lizenziert ist und von den Urhebern selbst bei RS.com eingestellt wurde, «[...] wurde im auftrag der proMedia GmbH (luengen@antipiracy.de) gelöscht. Um die genaue Begründung zu erfahren bitten wir sie diese zu Kontaktieren.», wie RapidShare sagt. Eine Nachfrage bei der ProMedia GmbH brachte nebst einer `Entschuldigung` die Ursache zutage - der «[...] Link wurde auf dem Gulli-Board mit vielen anderen urheberrechtlich geschützten Dateien (NOFX-Alben) gefunden und ist aus versehen mitgelöscht worden.» - wir hoffen doch alle, dass sich solcherlei Vorfälle nicht wiederholen, ansonsten könnten gewisse Personen auf unangenehme Gedanken kommen, etwa, dass sich die Mainstream-Labels von den Netlabels ins Abseits gerängt fühlen…

Eine ansonsten eher als minderwertig betrachtete Computerzeitschrift - ComputerBild - hat vor kurzem einen interessanten Video-Bericht über die Tätigkeit der allseits geliebten Musik-Piratererie-`Detektiven` ProMedia veröffentlicht. Interessant nicht vom eigentlichen Inhalt her (es ist der gefühlte zweiundvierzigste Bericht zu dieser Thematik) sondern, weil - wenn auch nur kurz - ein anscheinend internes Formular von RapidShare gezeigt wird, mit dessen Hilfe die ProMedia-Mitarbeiter gehostete Dateien direkt löschen können.

Sollte sich dies nicht in naher Zukunft als filmtechnische Fälschung herausstellen, wird die RapidShare AG wohl keine Freude haben, dass die ProMedia dies Formular dem ComputerBild-Filmteam und somit der Öffentlichkeit vorgeführt hat, zumal die Zuverlässigkeit von RapidShare im legalen Filehosting-Bereich durch die Tatsache, dass fremde Unternehmen ohne Kontrollen oder Nachfragen beliebige Dateien löschen können, nicht erhöht wird. Wenn der Abusedesk von RS.com auf `Anfrage` beliebige Dateien löscht, ist dies eine Sache. Löschrechte an Dritte zu vergeben, noch dazu an private Unternehmen, die unter anderem für den Missbrauch der Staatsanwaltschaften bekannt sind, ist ein anderes Paar Schuhe…

Das Web ist im Wandel.
Ich sehe es im WHOIS-Record.
Ich lese es auf Golem.de.
Ich fühle es im gulli:board.

Nein, das sind nicht die einleitenden Worte eines recht bekannten Buches von J.R.R. Tokien, das ist bitterer Ernst.

DivX’ Stage6 - die Plattform, welche den Benutzer qualitativ äusserst hochwertige Videos einstellen und streamen liess - wurde zum Opfer ihres eigenen Erfolges. Dieses Angebot wurde unter anderem in gewissen Warez-Kreisen gerne in Anspruch genommen - ist es doch für die meisten Besucher angenehmer, die Folgen ihrer Lieblingsserie sofort anschauen zu können, ohne erst eine ganze Folge in 100MiB-Stückchen von einem One-Click-Hoster laden zu müssen.
Doch der Betrieb der Plattform hatte auch seine Schattenseiten - für DivX entstanden unter anderem für den verpulverten Traffic und die Serverkapazitäten hohe Kosten, die niemand tragen wollte. Erst wurde angekündigt, man wolle Stage6 in ein eigenes Unternehmen outsourcen - daraus wurde aber nichts, so dass der Betrieb Ende Februar ‘08 eingestellt wird.

Gulli.com hatte in letzter Zeit wie es scheint mit juristischen Problemen zu kämpfen - als Folge davon musste die `Audiobörse` vorübergehend geschlossen werden. Korrupt sagte schon damals, dass «Eine entsprechende Lösung [...] bereits seit einiger Zeit in Arbeit [sei] und [...] im Lauf der nächsten Wochen umgesetzt [werde]». Das war am 6. Februar. Nun, gute zwei Wochen später, hat die deutsche `flicks IT-Solutions GmbH` gulli.com (zumindest offiziell) an einen gemeinnützigen österreichischen Verein namens `gulli Community` verkauft. gulli himself ist nun - gute zehn Jahre nach der Gründung von gulli.com ‘98 - nicht mehr `Administrator`, sondern `faulersack`, an seine Stelle tritt nun Sandler, über den zum jetzigen Zeitpunkt noch nicht viel bekannt ist. Es wurde angekündigt, dass sich für die User nicht viel ändern soll, und dass auch die restliche Boardobrigkeit - Korrupt in etwa - das Board weiterhin unsicher machen wird. Gulli alias Randolf Jorberg hat währenddessen in seinem Blog einen Nachruf verfasst, Fazit: `Es waren 10 geile Jahre`.
Servertechnisch sind keine Änderungen geplant, Bestrafer, mip, tiberian & Co werden ihre Arbeit wohl fortführen - und auch die Server sollen in Deutschland bleiben…

Viele, die sich 1337 fühlen, nutzen ICQ - und versuchen, eine möglichst kurze - meist sechsstellige - Nummer zu ergattern. ICQ, das proprietäre Chatsystem, wo sich die Betreiber die Freiheit nehmen, die übermittelten Informationen anderweitig zu nutzen.

Als wären dies nicht Gründe genug, ICQ links liegen zu lassen, kommen noch die kürzlich entdeckten und bisher ungepatchten Sicherheitslücken im offiziellen ICQ6-Client erschwerend hinzu. Zum einen besteht die Möglichkeit, über den Titel der sogenannten `tZers` aufgrund mangelnder Prüfung beliebigen HTML-Code einzuschleusen. Da ICQ6 zum Rendern der Chats unvorsichtigerweise auf eine bereits installierte Komponente des Internet Explorers zurückgreift, ist es auch möglich, dadurch eine der nicht gerade knapp bemessenen Sicherheitslücken im IE auszunutzen, um die Kontrolle über das System des angegriffenen zu übernehmen oder seinen ICQ-Client abstürzen zu lassen. Die zweite Sicherheitslücke hat vermutlich noch schlimmere Folgen - ICQ6 scheint sämtliche empfangenen Nachrichten als erstes Argument in einem printf()-ähnlichen Funktionsaufruf zu verwenden, wodurch eine Format-String-Vulnerability entsteht. Diese kann ausgenutzt werden, um ICQ6 abstürzen zu lassen, zum Beispiel indem durch mehrere `%s`- oder `%n`-Tokens ein Zugriff auf einen nicht gemappten Speicherbereich provoziert oder durch Grössenpräfixe der Tokens (`%042000000s`) riesige Ausgaben erzeugt werden. Auch der schreibende Zugriff auf gewisse Speicherbereiche im Adressraum des Programms ist möglich, was die Ausführung von beliebigem Code erlaubt. Auch Secunia und Heise haben das Problem mittlerweile entdeckt.

Ist ICQ nun wirklich so 1337 ?

Update, 7.3.08: Nachrichten der Form /%[\.0-9]+[a-zA-Z]+/ werden nun vom ICQ-Server verworfen. Dass dies die Sicherheitslücke nicht fixt, dürfte jedem klar sein, und jeder, der sich auch nur ein wenig mit Format-Strings auseinandersetzt, wird Wege finden, seine Nachrichten am Filter vorbei ans Ziel zu bringen…

Update 2.0, 9.3.08: Der Filter wurde angepasst, nun wird scheinbar alles, was auf /%\S+/ zutrifft, verworfen. Die Sicherheitslücke an sich ist immer noch nicht gefixt, und auch diese Filterregel lässt sich mit dem nötigen Wissen problemlos umgehen…

Update 3.0, 17.4.08: Die Format-String-Schwachstelle wurde mit ICQ6 Build 6059 wie es scheint behoben.

…ihr solltet vorsichtig sein, wem ihr eine Shell auf eurem Server gebt. Und in nächster Zeit noch besser auf die Sicherheit eurer PHP-Skripte achten. Denn ein Local-root-Exploit gegen Kernelversionen bis 2.6.24.1 wurde kürzlich veröffentlicht. Somit kann jeder, der beispielsweise über eine Remote File Inclusion Code - wenn auch als eingeschränkter User - auf eurem Server zur Ausführung bringen kann, volle root-Rechte erlangen.