Category: Blog
Ganz einfach, unten die 2 Schrauben an der kleinen Klappe herausdrehen, Klappe abnehmen und schon sind wir an der Mainboardbatterie.
Unser Praktikant war der Meinung, er müsse von “Oben” an die Sache rangehen und dabei den kompletten Laptop zerlegen.
Schöner Deface *g
Heute erreichte mich eine email vom Tobi:
Hallo hoohead,
die “Firma” lk-tronic (http://lk-tronic.de) schuldet mit nach einer Reklamation, die von der Firma bestätigt wurde, noch fast 1000 €! Ich habe seit Tagen kein Kontakt. Sie wollten mir das Geld bis zum 3. August überweisen, seitdem ignorieren Sie mich nur.
Ich habe in bisschen recherchiert und konnte feststellen, dass die Trusted Shop Zertifikate etc. unrechtmäßig auf Ihrer Seite haben. Nach einem Anruf bei 1&1 sind diese schnell verschwunden.
Da die Seite nicht sonderlich professionell aussieht, wollte ich dich mal fragen, ob du mir da helfen könntest? Bin, wie du weißt momentan in der USA und recht machtlos.
Liebe Grüße,
Tobi.
Habe mich heute morgen mal hingesetzt und die Leute von Google gefragt, ob die irgendwas interessantes zur lk-tronic.de haben.
Folgender Beitrag bei gegen-abzocke.com machte mich teilweise sehr ärgerlich und brachte mich zum schmunzeln zugleich.
Wer sich das lesen der 91 Kommentare sparen möchte, kurze Zusammenfassung:
Nachdem einige den Verdacht hatten, die Firma lk-tronic.de würde betrügerisch handeln und Leute um Ihr Geld bringen, häuften sich die Meldungen von Leuten die Abgezockt wurden und schon bereits Strafanzeige gestellt hatten.
Kommentar 25, mit dem Nick MyElectronicShop (der Kommentarposter hat sich auch gleich einen Backlink auf lk-tronic.de gesichert), mit dem Hinweis, dass er super zufrieden mit dem Service sei.
Wenige Kommentare später fällt das natürlich auf und unser SocialEngineer Deluxe (wahrscheinlich mit einem IQ von leicht über 70) geht nun eine völlig andere Richtung.
Er lässt nun den Backlink weg und behauptet nun selber auf Waren im wert von 3200 Euro zu warten (Kommentar 32) – um dann wenig später (Kommentar 41) zu behaupten, er hätte sein Geld wieder bekommen, sogar eine weitere Bestellung im Wert von 2800 sei zurück bezahlt worden (weil is klar, wenn mir einer Geld schuldet dann werfe ich dem natürlich erst mal noch mehr in den Rachen … vielleicht sollten die anderen Opfer das gleiche machen).
Kommentar 47 auch eine Glanzleistung, ich berichtige meine Behauptung der Kommentarschreiber hätte einen IQ von leicht über 70, ich denke er hat mindestens einen IQ von 75, denn folgender Paypalhack ist wirklich eine Glanzleistung:
Zitat:
… Der Laden hatte noch einen guten Trick.
Ich hatte am Sontag folgende Nachricht von Paypal erhalten und mich zuerst gefreut:
lk-tronic hat Versanddetails hinzugefügt. Beachten Sie, dass die Nachverfolgungsinformationen und der Versandstatus oben genau so angezeigt werden, wie der Verkäufer sie eingegeben hat.
Versender Deutsche Post/DHL in Europa (TrackNet)
Nachverfolgungsnummer wird in der 29 Kalenderwoche ausgeliefert …
Kommentar 48 – 56 schlägt der Social Hacker wieder zu und wirft gefakte Meldungen in die Runde (wie der Admin von gegen-Abzocke später aufdeckt – alle mit der selben IP geposted 
).
Kommentar 55 und 56 auch ganz schlau – da liegen genau 17 Minuten zwischen den Posts – ich widerrufe meine Behauptung der Kommentarschreiber hätte einen IQ von 75 und denke nun eher dass er so zwischen 65 und 70 liegt.
Meine Meinung:
Strafanzeige stellen und hoffen dass der Richter den Knaben ganz lange in den Bau steckt.
Niemals 1blu, das lernte ich in der Vergangenheit.
Der Youtubeuser Wordlessplayer hat hier auch seine ganz eigenen Erfahrungen machen müssen.
Witzig das Ende im 2. Teil – “Sagen Sie mir doch bitte, was genau ist denn Ihr Job?” … tüt tüt tüt.
Habe mich vor kurzem mit einem Kollegen über die Netzneutralität und Abzocker unterhalten.
Auf der einen Seite ist es meiner Meinung nach erstrebenswert die Netzneutralität zu erhalten, auf der anderen Seite denkt mal wieder Niemand an die Kinder Shopbetreiber.
Die ganzen Carder (also der Bodensatz unserer Gesellschaft), die über gehackte Paypal Accounts, CC und ähnliches in Internetshops das Geld fremder Menschen verpulvern und dann auch noch die Frechheit besitzen sich “Hacker” zu nennen, sind hier ein ernstes Problem.
Bei gewissen Transaktionen wäre es also wünschenswert, wenn wir eine halbwegs sichere Möglichkeit hätten, unseren Geschäftspartner zu identifizieren.
Die Deutsche Post hat mal wieder schnell reagiert und das Postident Verfahren auf den Markt geworfen.
Ein ganz eingesessener Postler, ein Überbleibsel der Beamtenära und kurz vor seiner Pensionierung, hat hierzu ein 3er Team junger Fachhochschulabsolventen mit der Entwicklung dieses Postidentverfahrens beauftragt.
Problematisch nur, dass die 3 absolut keine Ahnung hatten wie der “gemeine Briefträger” tickt und was für organisatorische Hürden bestehen … auch sagt ihnen Niemand, dass sie beim planen lieber mal auf den Genuss von THC verzichtet hätten.
So oder ähnlich muss es sich wohl abgespielt haben, anders kann ich mir das nämlich nicht erklären.
Vor einigen Monaten (12 oder so) sollten wir uns also für dieses Postident anmelden, hierzu war es jedoch notwendig, dass der Firmeninhaber persönlich die nötigen Unterlagen im 30 km entfernten Ort unterschreibt.
Ich schätze mal, dass einige große Firmen dazu nicht bereit waren, weil diese Vorgehensweise dann auch schnell wieder abgeschafft wurde.
Die endgültige Beantragung vor 2 Monaten war dann also recht entspannt, zumindest für den Chef.
Etwa 20 Telefonate, zig emails und geschätzte 5 Lenze meiner Jugend später, hatten wir dann die benötigten Unterlagen und der erste Postident konnte so quasi ausgefüllt werden.
Da ich ja keinen Fehler machen wollte, rief ich bei der “Fachstelle für Postident” an, um mich kundig zu machen wie man die benötigten Formulare denn richtig ausfüllt.
Leider hatte die Fachstelle für Postident auch keine Ahnung, da wir den Comfort geordert haben, einige Telefonate später war dann aber auch dieses Problem quasi aus der Welt.
Wir sollen Liste 1 ausfüllen (Din A4) und in den exakt 3,2 cm größeren Umschlag packen.
In dem Umschlag ist ein exakt 2 cm großes Sichtfenster, durch das dann die PLZ und der Ort sichtbar wird – merkt Ihr was?
Es geht aber noch weiter.
Postident Comfort ist mit 7,16 Euro + das Briefporto frei zu machen, die nette Schalterbeamtin hat mir jedoch versichert, dass es nicht möglich ist auf 7,16 zu frankieren, da es keine 1 Cent Briefmarken gibt.
Egal hauen wir halt 7,20 drauf und hoffen das nun alles reibungslos verläuft.
Nun sollte der Zusteller beim Kunden die Identifikation an der Haustür vornehmen, oder einen Hinweis in den Briefkasten legen, dass sich der Kunde in das nächste Postamt zur Identifikation begibt.
Klappt leider nicht, der Zusteller (vermutlich auch dem THC nicht ganz abgeneigt) hat den Innenbrief des Kunden in seinen Briefkasten geworfen und den Rest – keine Ahnung verhökert er vielleicht bei ebay oder bastelt sich Papierflieger ….
Weitere Versuche den Postident doch noch über die Bühne zu bringen konnten wir leider nicht testen, da der Kunde mittlerweile abgesprungen ist.
Habe mir heute mal meinen Cisco Linksys WAG120N unter die Lupe genommen und auch gleich eine sehr lustige Sicherheitslücke entdeckt.
Gleich vorneweg, ein mögliches Angriffsszenario bedarf ein wenig Fingerspitzengefühl, da wir vor der eigentlichen Lücke einen htaccess überwinden müssen, mit ein wenig Kreativität könnte so ein Angriff allerdings gelingen.
Wie würde so ein fiktives Angriffsszenario aussehen?
Man lockt einen potentiellen Linksys WAG120N Nutzer auf seine Seite und bringt ihn dazu sich auf seinem Router einzuloggen.
Vielleicht beginnen wir mit der Meldung:
“Nutzt Ihr Linksys auch diese Firmware: V1.00.12, dann sollten Sie hier weiterlesen”.
Am Anschluss einen etwas längeren Text gefolgt von einem, na sagen wir mal:
<?php sleep(60);?>
Soviel zur fiktiven Vorbereitung, jetzt bräuchten wir noch eine entsprechende Lücke im System (der htaccess ist nun lange genug geöffnet).
Ich schaute mir also einmal den Request an um irgend eine Angriffsmöglichkeit zu finden:
Da die Linksys Macher mit der Möglichkeit eines XSRF Angriffes mit Sicherheit gerechnet haben, bauten Sie in den Request so Sachen ein wie: sysname, sysPasswd und sysConfirmPasswd.
Wir müssen hierbei wissen, dass der Standardlogin admin / admin lautet.
Wenn wir uns obiges Bild anschauen, dann sehen wir – Benutzer: admin stimmt, Passwort: 123456 – das ist aber nicht mein Passwort …
Meine Überlegung:
Die Macher wussten ganz genau, dass ein plain Request ohne weitere Schutzmechanismen eine Gefahr darstellt vielleicht waren Sie einfach zu faul was passendes zu coden und machtes es ähnlich wie die Hainschwebfliege in der Tierwelt.
Ich beschnitt also den entsprechenden Request um meine Überlegung zu testen.
… und um sicher zu sein, dass nicht irgend eine generierte Session im Browser als Schutzmechanismus wütet, löschte ich die cookies und schickte dann die beschnittene Anfrage ab … und siehe tada, wir haben die Remote-Verwaltung aktiviert.
So lange noch kein Securityfix besteht, sollten alle WGA120N Nutzer folgendes beherzigen:
Einloggen – Änderungen vornehmen etc. – Browser ganz schließen (löscht den htaccess).
Eine Meldung an Cisco wurde bereits verschickt.
Böse Sachen macht da der hoo, wobei sie gar nicht so böse gedacht waren.
Das letzte “Gewinnspiel” als solches hatte ja einige Lücken, ich kann ja gar nicht kontrollieren ob wirklich was gelöscht wurde (außer ich hätte mir nen Kommentargrabber geschrieben, der im Minutentakt alle Kommentare gezogen hätte … oder im 10 Sekundentakt … oder ka *g).
Ich möchte in diesem Beitrag aber auch mehr auf meine Motivation eingehen, die hinter der Aufforderung steckt.
Sich mit Kommentarschreibern auseinander zu setzen kann manchmal ganz schön an die Substanz gehen.
Es gibt leider eine nicht unbedeutende Menge von Trollen und schlecht Wetter Poster, die versuchen Dir Dein Projekt kaputt zu kommentieren (konstruktive Kritik ist hier natürlich nicht mit gemeint).
Wie man damit umgeht sei jedem selbst überlassen – es gibt Projekte (eine große Funseite kommt mir da gerade in den Sinn), da werden prinzipiell alle Kommentare zugelassen, je mehr Trolle desto besser – weil jeder neue Troll == 1 mal mehr Werbung eingeblendet == Bares für den Admin.
Ich denke, durch das Experiment wird vielleicht ansatzweise klar, welchen Kommentaren sich Blogger mit halbwegs gut besuchten Seiten stellen müssen.
Damit das ganze nun ein Ende findet ist hiermit das Gewinnspiel beendet.
Da ein Fehler in der Aufgabenstellung war (es lässt sich nicht nachvollziehen ob wirklich gelöscht wurde), hier nun ein alternativ Gewinnspiel.
Ich habe mir eine Zahl ausgedacht zwischen 1 und 1000.
Jeder der sein Glück versuchen möchte, darf einmal eine Zahl raten und diese hier in die Kommentare packen.
Wer am nächsten dran ist, bekommt den RS Monats Account.
Auflösung ist morgen Abend (Montag), da werde ich dann auch das Passwort zum entpacken dieses Textfiles geben, in dem die Zahl steht.
Der RS Account geht dann an die im Kommentarfeld hinterlegte mailadresse (ist in den Kommentaren nicht sichtbar), Einwegmailadressen sind nicht zugelassen.
Update: Das Spiel ist beendet, der Gewinner wird in Kürze bekannt gegeben.
Update: Hier nun das Passwort zum zip file: supergheimundmitganzvielenstellen
Gewinner ist y0koert. Herzlichen Glückwunsch - die Zugangsdaten wurden bereits verschickt.
Einige unter euch erinnern sich vielleicht noch an diesen Beitrag vom skskilL.
Da wurde mir vorgeworfen ich würde meinen Blog “zensieren”, weil ich nicht jeden Kommentar freischalte.
Eine persönliche Stellungnahme zum Thema Zensur ist unter anderem in der Hausordnung zu finden, des weiteren copy paste ich skskilL’s Kommentar um mal zu schauen wie andere Blogs mit solchen Beiträgen umgehen – das Ergebnis findet Ihr hier -> “wo wird zensiert“.
Ist natürlich auch doof, wenn man anderen Zensur vorwirft – selber aber keine Kommentarfunktion in seinen Blog einbaut – doch damit ist jetzt Schluß.
Ab sofort könnt Ihr beim skskilL Kommentieren und um zu testen ob er sich wirklich an seine Aussagen hält, habe ich mir ein kleines Spiel überlegt.
Wer es schafft, einen Beitrag auf skskilL’s Blog zu posten der anschließend gelöscht wird bekommt einen RS Monatsaccount geschenkt.
Einzigste Bedingung – der Kommentar darf keine “illegalen Dinge” beinhalten – da ich damals im Kommentar von skskilL beleidigt wurde “fu@you” und nach deutschen Recht eine Beleidung nicht legal ist, mache wir hier eine kleine Ausnahme - also:
Nicht erlaubt: Alles was nicht legal ist
Ausnahme: Beleidigungen
Die Auflösung aus dem Gewinnspiel gibt es hier auf hoos Area.
achja und 
Seit 3 Wochen habe ich ja die Ladenleitung in unserem kleinen PC Laden und ich muss euch sagen, dass das teilweise ganz schön stressig ist.
Deshalb kam ich in letzter Zeit nicht wirklich zum bloggen.
Heute ist ja ein ganz besonderer Tag – Freitag der 13..
Für alle Abergläubische ein böses Omen, jetzt möglichst noch schwarze Katzen meiden und sich mit 4 vierblättrigen Kleeblättern und Schornsteinfeger eindecken.
An den Quatsch glaubt eh Niemand, im Grunde hat der ganze Freitag der 13. Hype einen ganz anderen Grund.
Man kann sich endlich mal wieder unterhalten, auch wenn man eigentlich nichts zu sagen hat – im Grunde ist es so ein Friseurgelaber Niveau.
Im Real Life, via Facebook, Twitter, in Foren, per Chat oder wenn man ganz ganz wenig zu sagen hat, kann man auch einen Blogeintrag darüber schreiben.
Deshalb mache ich hier jetzt auch einen Schnitt und verlinke statt dessen einige meiner twitpic Fotos:
Die letzten Monate habe ich mich mal wieder intensiv mit dem Webserver als solchen beschäftigt (und auch wieder einige Modifikationen am eigenem gemacht) und dabei wieder einiges an Erfahrungen sammeln können.
Danke an dieser Stelle auch an den Admin von secu.in, der mir hier einige gute Tipps geben konnte.
Jetzt sollte ich hier auch ein kleines Resumee geben, Apache oder lighttpd, Hosteurope oder Netcup … oder doch lieber Proplay?
Hab mal wieder einiges am Server modifiziert und möchte nun mal testen ob denn auch wirklich alles so funktioniert, wie ich mir das vorstelle.
