Das Rootserver-Experiment

Erlebnisse eines Rootserver (Beinahe-) Neulings

Verantwortlich für den Inhalt dieser Seite ist Mattias Schlenker, Inhaber Mattias Schlenker IT-Consulting Mattias Schlenker work Dietrich-Bonhoeffer-Str. 3, 40667 Meerbusch. Germany work Fon +49 341 39290767. Meine USt-ID (VATIN) lautet: DE240998538. http://www.mattiasschlenker.de

Diese Seite läuft unter Wordpress 2.x.x. News und Kommentare können als RSS-2.0-Feed abonniert werden.

Archiv für 'Legal, illegal, Ganz egal?'

Das erste (?) Linux-Botnet

Wednesday, March 25th, 2009

Durch einen Artikel auf Linuxdevices.com bin ich auf eine kurze Reportage zu einem Linux-Botnet aus “geknackten” Kabel- und DSL-Routern gestoßen: Larry Seltzer berichtet in der eWeek von einem Psyb0t getauften Netz, das ausschließlich aus DSL- und Kabelroutern der MIPSEL-Architektur basiert.

Betroffen sind offensichtlich Router mit schwachen Administrationspasswörtern, bei denen teilweise das Administrationsfrontend auf der WAN-Seite zugänglich war. Offenbar fand keine Modifikation des persistenten Speichers statt, so dass ein harter Reset genügt, um dem Spuk ein Ende zu bereiten — das Botnet soll abgeschaltet sein und keine weiteren Router identifizieren. Mit Routern wie der FRITZ!Box hätten die Botnet-Programmierer die Möglichkeit gehabt, durch ein paar Zeilen in der /var/flash/debug.cfg die Änderungen zu speichern.

Angesichts der weiter steigenden Fähigkeiten moderner DSL-Router, die als Datenablage im Heimnetz dienen und mittlerweile moderate Rechenleistung bereitstellen, entsteht ein interessantes Bedrohungsszenario, bei dem gehackte Boxen den Datenverkehr belauschen, Mail- oder Login-Passwörter für Shoppingportale über unverschlüsselte Verbindungen abhören oder Spam verschicken — einzelne Spam-Mails, Listen mit Mailadressen und einen SMTP-Client für den Versand, der auch mit Queueing auf Greylisting reagiert, lassen sich in wenigen hundert kB unterbringen.

Seltzer behauptet, dass der Hauptgrund dafür, dass es keine Botnets für Linux-Desktops gibt, darin liegt, dass der durchschnittliche Nutzer erfahrener als sein Windows-Kollege ist. Dem kann ich mich weitgehend anschließen. Nicht ganz d’accord bin ich mit der Behauptung, dass es sich um das erste Linux-Botnet handelt: Viele schlecht gewartete und anschließend “aufgemachte” Linux-Rootserver, die zum Spam-Versand oder für Wörterbuch-Passwort-Attacken missbraucht werden, weisen Botnet-Charakter auf — auch wenn es sich meist nur um Dutzende bis wenige Hundert beteiligte Rechner handeln dürfte und nicht um eine sechsstellige Zahl wie im vorliegenden Fall.

Netbooks sind von Psion

Monday, December 29th, 2008

Es war einmal ein Hersteller von kompakten Organizern. Psios Serie 5 und später der einfachere Revo waren bekannt für ihre kompromisslose mobile Nutzbarkeit, die lange Akkulaufzeit, eine einfache Bedienung und die geniale Klappmechanik, mit der Psions Mini-Computer ohne nach hinten zu kippeln immer sicher standen. Die Größe der Psions lag deutlich unter der von Subnotebooks, aber über der klassischer PDAs. Epochal war das Betriebssystem: EPOC lieferte die Basis für die bevorzugt bei Sony Ericsson und Nokia eingesetzten Handy-Systeme Symbian Series 60 und Series 90. Im Jahr 2000 als Psion noch Marktanteile im Endkundenmarkt vorweisen konnte, brachte Psion einen großen Organizer im Fast-A5-Format mit 640×480 Pixeln und einem auf Farbe angepassten EPOC. Erweitern lies sich das je nach Ausstattung als “Psion 7″ oder “netbook” angebotene Gerät mit einer CF-Karte links und einer PCMCIA-Karte rechts. Geadcht war das Netbook für browserbasierte Anwendungen, Java-Anwendungen und einfache Textverarbeitung und Tabellenkalkulation. Gerade der Fokus auf Java-Applets war eine mobile Interpretation von Oracles Internet-PC.

(more…)

Open Source: Missverständnisse in der FTD

Thursday, August 14th, 2008

Offener Brief an die Redaktion der Financial Times Deutschland:

Sehr geehrter Jörn Petring,

aktuell findet sich unter ftd.de ein Artikel von Ihnen, der den Eindruck erweckt, die Verwendung von Opensource-Software in eigenen Softwareprodukten stelle ein unkalkulierbares Risiko dar. Dieser Eindruck ist falsch: Das Risiko ist nicht größer als bei der Verwendung kommerzieller Komponenten, oft lassen sich Entwicklungskosten minimieren und die “doppelte Erfindung des Rades” vermeiden. Damit die positiven Kosteneffekte zum Tragen kommen, ist aber wie bei jeder Entwicklung — sei es nun Software, Hardware, ein Auto, ein Computerchip oder ein Toaster — eine Planung des Entwicklungsprozesses notwendig. Ich möchte daher auf einige Punkte Ihres Artikels eingehen, die einer Präzisierung bedürfen oder sich aus meiner Sicht einfach als falsch darstellen.

(more…)

Firmware seziert: LaCie LaCinema

Tuesday, June 24th, 2008

Vor ein paar Tagen habe ich mir — aus Bastellaune — einen kleinen Festplatten-DivX-Xvid-Player von LaCie (LaCinema Premier 500GB) zugelegt. Spielkind wie ich nunmal bin wollte ich wissen, was drauf läuft. Also die aktuelle Firmware heruntergeladen und entpackt. Das Archiv LaCinemePremier_FirmwareUpdate_3_10.zip enthält die folgenden Dateien:

-rw-r--r--  1 mattias mattias     553 2008-04-09 13:57 Changes in firmware version 3_10.txt
-rw-r--r--  1 mattias mattias 4194304 2008-04-03 18:06 lacinema_premier_fw.bin
-rw-r--r--  1 mattias mattias 4194304 2008-02-19 15:00 ntd00fw.bin
-rw-r--r--  1 mattias mattias    7065 2008-04-09 12:02 Update_Procedure.txt

Interessant sind natürlich besonders die beiden Bin-Dateien. Der Befehl “strings” verschafft schonmal einen Überblick, was drin stecken könnte, da recht viel ausgegeben wird, ist es sinnvoll, nach Begriffen, wie Kernel oder Linux zu greppen. Und bingo:

(more…)

Wer steckt wirklich dahinter?

Tuesday, September 4th, 2007

Laut FTD, Spiegel, Golem und Heise Online haben angeblich chinesische Hacker versucht, Mailserver des Pentagon zu kompromittieren. Die Angriffe haben sich wohl präzise auf “verschiedene Regionen Chinas” zurückführen lassen. Soweit zu den mageren Fakten. Die Financial Times macht daraus eine nette Schlagzeile, die mehr als mißverständlich ist.

Die Faktenlage ist dürftig: Angriffe mit Ursprung in China, automatisches Abklopfen auf Sicherheitslücken und nicht gerade unauffälliges “Öffnen” von Rechnern — für mich sieht das eher nach einer der üblichen automatischen Suche nach offenen Proxies, offenen Relays und unzureichend gesicherten PHP-Scripten aus, nur nicht nach Profis. Chinesische Hacker von Amts wegen würden mit Sicherheit keine Rechner aus eigenen Netzbereichen als Basis für Schwachstellenanalysen verwenden, sondern auch geknackte oder gemietete Server beispielsweise in Russland. Auch die Tatsache, dass wohl tatsächlich einige Rechner der Volksbefreiungsarmee an den Angriffen beteiligt waren, sagt wenig. Vermutlich hat die chinesische Armee genauso unterbezahlte Administratoren wie viele andere Behörden, die entweder keine Lust am Abdichten ihrer Systeme haben, oder sich mit automatischen Scans nach offenen Relays für einen gut zahlenden Spammer etwas dazu verdienen wollen.

Anti-Marketing (2. Update)

Wednesday, January 25th, 2006

Nörgelnde und unzufriedene Kunden gibt es immer wieder. Mal sind die Preise zu hoch, mal ist der Service zu schlecht, mal hat der Kunde einfach zu hohe Erwartungen an ein Produkt. In der Regel einigen sich beide Seiten auf eine schnelle und unkomplizierte Aufhebung des Vertrages und der Kunde findet anschließend meist sogar wohlwollende Worte über den professionellen Umgang mit Beschwerden.

Serverschleuder Homepage

Nicht so im Falle der Serverschleuder. Thomas Hölscher hat seinen Unmut über die seiner Ansicht nach nicht zufriedenstellende Vertragserfüllung durch Serverschleuder im Web geäußert und fand prompt Drohungen eines der mutmaßlichen Geschäftsführer in seinem Blog wieder.

(more…)