Hanno's blog

I just read an article about the recent wordpress vulnerability (if you're running wordpress, please update to 2.5.1 NOW), one point raised my attention: The attack uses MD5-collisions.

I wrote some articles about hash collisions a while back. Short introduction: A cryptographic hash-function is a function where you can put in any data and you'll get a unique, fixed-size value. »unique« in this case scenario means that it's very hard to calculate two different strings matching to the same hash value. If you can do that, the function should be considered broken.

The MD5 function got broken some years back (2004) and it's more or less a question of time when the same will happen to SHA1. There have been scientific results claiming that an attacker with enough money could easily create a supercomputer able to create collisions on SHA1. The evil thing is: Due to the design of both functions, if you have one collision, you can create many more easily.

Although those facts are well known, SHA1 is still widely used (just have a look at your SSL connections or at the way the PGP web of trust works) and MD5 isn't dead either. The fact that a well-known piece of software got issues depending on hash collisions should raise attention. Pretty much all security considerations on cryptographic protocols rely on the collision resistance of hash functions.

The NIST plans to define new hash functions until 2012, until then it's probably a safe choice to stick with SHA256 or SHA512.

I own this Canon IXUS 50 camera for more than two years now. It's a fine device, but it has some small lacking features where I often asked myself if this could be enhanced with a new firmware.

Until recently, when I read about the CHDK project: It's a kind of firmware enhancements for Canon cameras. It doesn't fully replace the real firmware, but adds additional stuff (I must say I don't fully understand what they do). And now they have an experimental port for the SD400, which is built into my cam.

The first big killerfeature one will notice is that the cam now has a battery monitor, which is the most obvious lacking feature of the original firmware.

One more thing I always would've liked for my cam is a better video compression. The video quality is quite good, but the cam just can do mjpeg, which leads to big files and limits your maximum video size to about 20 minutes. It seems CHDK has some better compression video mode, but I'll have to dig deeper into it. Beside, I can now record raw images. So there's lot's of cool stuff to play with.

In the instant messaging world, encryption is a bit of a problem. There is no single standard that all clients share, mostly two methods of encryption are out there: pgp over jabber (as defined in the xmpp standard) and otr.

Most clients only support either otr (pidgin, adium) or pgp (gajim, psi), for a long time I was looking for a solution where both methods work. psi has otr-patches, but they didn't work when I tried them. kopete also has an otr-plugin, but I've not tested that yet.

Today I found that there is an otr-branch of gajim, which is my everyday client, so this would be great. As you can see on the picture, it seems to work on a connection with an ICQ user using pidgin.

I've created some ebuilds in my overlay (the code is stored in bazaar, I've copied the bzr eclass from the desktop effects overlay):

svn co https://svn.hboeck.de/overlay

Today I asked myself if I can ping an IDN host.

My default ping (iputils on linux) couldn't do it, but I found some patches out there, e.g. from Fedora. Thanks to SpanKY, we now also have IDN-enabled ping in Gentoo (he used a modified patch).

Normalerweise versuche ich aus Datenschutzgründen, nach Möglichkeit mit Bargeld und nicht mit EC-Karte zu bezahlen. Gestern jedoch merkte ich erst im Laden, dass ich viel zu wenig Bargeld bei mir hatte. Also doch mit Karte.

Beim rausgehen warf ich ein Stück überflüssige Verpackung gleich in den Müll und wollte schon mit dem Kassenzettel ebenso verfahren, hielt jedoch kurz inne. Steht da was möglicherweise sensibles drauf? Geschaut, tatsächlich, BLZ, Kontonummer (kein Name, sonst wär's noch problematischer). Ich weiss nicht ob das üblich ist, werde aber in Zukunft darauf achten.

Welche möglicherweise spannenden Datensätze man generieren könnte, durch schlichtes Wühlen in den Papierkörben vor großen Geschäften, das überlasse ich der Phantasie meiner Leser.

Auf telepolis findet man heute einen lesenswerten Artikel zum Thema »Richtervorbehalt«. Aufgegriffen wird darin unter anderem ein Fall, über den gulli vor einiger Zeit schon berichtete, der aber sonst trotz seiner Brisanz kaum Medienpräsenz erhielt: Ein Mensch wurde mit einer Hausdurchsuchung bedacht, weil unter Angabe seiner eMail-Adresse Leistungen genutzt und nicht bezahlt wurden. Es lag nicht der geringste technische Hinweis vor, dass der Inhaber der Mailadresse auch tatsächlich der Schuldige sei. Trotzdem unterschrieb ein Richter den Hausdurchsuchungsbefehl, der Begriff »Rechtsbeugung«, den telepolis hier verwendet, ist wohl treffend.

Das Problem ist nun, dass man in solchen Fällen zwar eigentlich Recht hat, aber dies einem eigentlich nichts nützt. Denn weder der Richter, noch die durchführenden Organe haben in solchen Fällen irgendetwas zu befürchten (»Eine Krähe hackt der anderen kein Auge aus«). Ähnlich ja auch geschehen bei den Massenhausdurchsuchungen im Vorfeld des G8-Gipfels, die zwar anschließend für rechtswidrig erklärt wurden, was jedoch für niemanden Konsequenzen hatte.

Desweiteren macht der oben genannte Fall auf eine Problematik aufmerksam, die sich in Zukunft noch verschärfen dürfte (Stichwort »Urheberrechtsnovelle«): Ein Richter wird mit einem Fall betraut, der eigentlich eines gewissen technischen Sachverstandes bedarf, um überhaupt eine adäquate Einschätzung zu geben. Es ist vermutlich zu erwarten, dass die Sensibilität hierfür nicht gerade steigt, wenn es »nur« um den massenhaften Abruf von Verkehrsdaten beim Provider geht, der ja durch die kürzlich verabschiedete Urheberrechtsnovelle ermöglicht werden soll.

Bei der Debatte um die diversen Verschärfungen von Sicherheitsgesetzen wird der Richtervorbehalt oft genug als Allheilmittel gegen Mißbrauch angesehen - warum eigentlich?

Ich hatte ja schonmal alternative Biobrausen angetestet, habe in jüngster Zeit ein paar weitere Exemplare einer Geschmacksprobe unterzogen.

Exemplar 1: Bio Drink, käuflich erworben bei ALDI Süd. Das Flaschendesign sieht stark nach Discouter aus, aber ich will hier ja das Getränk testen und nicht das Design. Holunder-Cranberry ist auf dem Foto abgebildet, es gab noch zwei andere Sorten, aber die Flaschen sind schon entsorgt, deswegen weiss ich nicht welche.

Schmeckt ganz passabel und nicht zu süß. Empfehlenswert.

Exemplar 2: REWE Bio Erfrischungsgetränk, Cranberry getestet, Ananas steht noch im Kühlschrank. Zunächst hier ein Blick auf die Zutatenliste, welche Milchsäure enthält. Das dürfte das Getränk für einen Großteil der potentiellen Kundschaft (vegane Ökos) uninteressant machen.
Zum Geschmack: Es schmeckte nichtmal so schlecht, aber irgendwie nicht nach Bio. Süßer als das Original und Geschmack eher künstlich.

Mein Fazit: ALDI bislang Testsieger der Discouter-Brausen, REWE dahinter, Maltonade weiterhin Schlusslicht.

Disclaimer: Ich werde (leider) nicht von Bionade bezahlt, auch wenn mir das in oben verlinktem Blogeintrag vorgeworfen wurde.

Today heise security brought a news that a growing number of old wordpress installations get's misused by spammers to improve their pagerank. I've more or less waited for something like that, because it's quite obvious: If you have an automated mechanism to use security holes in a popular web application, you can search for them with a search engine (google, the mighty hacktool) and usually it's quite trivial to detect both application and version.

This isn't a wordpress-thing only, this can happen to pretty much every widespread web application. Wordpress had a lot of security issues recently and is very widespread, so it's an obvious choice. But other incidents like this will follow and future ones probably will affect more different web applications.

The conclusion is quite simple: If you're installing a web application yourself, you are responsible for it! You need to look for security updates and you need to install them, else you might be responsible for spammers actions. And there's no »nobody is interested in my little blog«-excuse, as these are not attacks against an individual page, but mass attacks.

For administrators, I wrote a little tool a while back, where I had such incidents in mind: freewvs, it checks locally on the filesystem for web applications and knows about vulnerabilities, so it'll tell you which web applications need updates. It already detects a whole bunch of apps, while more is always better and if you'd like to help, I'd gladly accept patches for more applications (the format is quite simple).

With it, server administrators can check the webroots of thier users and nag them if they have outdated cruft laying around.

Für meine geneigten Leser, denen die Firma Burson Marsteller kein Begriff ist: Burson Marsteller bezeichnet sich selbst als »zu den führenden Public Relations Agenturen und Unternehmensberatungen für Kommunikation« gehörend. Burson Marsteller verkauft Image. Burson Marsteller hat eine illustre Liste von Kunden: Die für die Chemiekatastrophe in Bhopal zuständige Firma »Union Carbide«, den Betreiber des Katastrophen-Atomreaktors von Three Mile Island, die »Global Climate Coalition«, einst prominenteste Stimme der sogenannten Klimaskeptiker oder den nigerianische Diktator Yakubu Gowon [1].

In den 90er Jahren machte ein internes Papier von Burson Marsteller Furore [2], welches an die Öffentlichkeit gelangte. Darin wurden Strategievorschläge für die Durchsetzung der Gentechnologie gemacht. Auftraggeber war die Organisation »EuropaBio«, ein Zusammenschluss diverser Größen der Biotechnologie: Bayer, BASF, Syngenta, Monsanto.

Soviel als Hintergrundinformation zu Burson Marsteller.

Heute erhielt ich einen Anruf mit der Bitte, ich möge doch recherchieren, ob der »Wissenschaftlerkreis Grüne Gentechnik e. V.« direkt mit Monsanto in Verbindung steht. Es sei jemandem aufgefallen, dass die IP-Adressen ähnlich aussehen.

Tatsächlich unterschieden sich die beiden Adressen nur in einer Stelle, verantwortlich für beide: Eine Firma mit Namen »Interactive Dialog«. Besucht man deren Webseite, erscheint sie einem zunächst wie jede gewöhnliche Internetagentur. Erst die Liste der Referenzen bringt dann interessantes zu Tage: Den oben genannten Wissenschaftlerkreis erwähnt man nicht, Monsanto sehr wohl, daneben eine Reihe anderer Firmen im Bereich der sogenannten Biotechnologie. Und eben auch: Burson Marsteller. Zufall?

Der »Wissenschaftlerkreis Grüne Gentechnik e. V.« wird geleitet vom Karlsruher Professor Dr. Klaus-Dieter Jany, der als sehr aggressiver Befürworter der grünen Gentechnik gilt und selbst Freisetzungsversuche in Rheinstetten bei Karlsruhe betreibt, ebenso im Vorstand der Verantwortliche für die Freisetzungsversuche im schwäbischen Oberboihingen, Prof. Dr. Andreas Schier. Die Genforscher geben sich gerne als Menschen, die lediglich das beste wollen. Dass sie von ihren Auftraggebern und Unterstützern eher ungern sprechen, mag daran liegen, dass die Firma, die »Agent Orange« produziert hat, nicht in das Bild der falsch verstandenen Weltverbesserer passt. Dass eine Organisation wie der »Wissenschaftlerkreis Grüne Gentechnik e. V.« eine Industriegründung ist, überrascht wenig, mehr schon, dass es so plump geschieht, dass es mit ein bißchen Internetrecherche herauszufinden ist.

[1] http://vorort.bund.net/suedlicher-oberrhein/wyhl-vietnam-neue-akw.html
[2] http://www.aktionsbuendnis.net/Firmen/Burson%20Marsteller/empfehlu.htm

Und erwähnt mich. Zitat:
Hanno Böck, der die freie Geodatenbank Openstreetmap vorstellte, war extra nach Augsburg gereist, da es »hier noch besonders viel zu tun gibt«. Ein Blick auf eine Augsburger Stadtkarte zeigte, was er meint: Einige Straßen sind schon drin, Bahnlinie und Hauptbahnhof auch, sogar Sträßchen wie Kappelberg, Milchberg, Bäckergasse und Hallstraße sind eingezeichnet. Aber wo ist die Maximilianstraße? Der Rathausplatz? Da sieht es doch recht leer aus.

Augsburger Allgemeine: Damit der PC mit seinem Nutzer rechnen kann

Von der Genfeld-Besetzung habe ich ja gestern berichtet. Im Schwäbischen Tagblatt weiss man die Aktion mit einer Kurzmeldung zu würdigen, die mit den Worten endet:
Da die Aktivisten einen Polizeieinsatz befürchten, haben sie eine Konstruktion aus drei Fichtenstämmen aufgestellt, auf dessen Plattform zwei junge Männer Wache halten.

Nun halte ich persönlich die Frage, welchen Geschlechts die Menschen auf dem Tripod sind, für eher wenig relevant, jedoch ist dies schlicht und ergreifend falsch. Das mag das Weltbild der Schreiberlinge vom Schwäbischen Tagblatt überfordern, aber sämtliche Menschen, die den Turm »bewachten«, waren dem biologisch weiblichen Geschlecht zuzuordnen.

Vergangene Nacht wurde in Oberboihingen (nähe Stuttgart, zwischen Wendlingen und Nürtingen) ein Feld der FH Nürtingen besetzt, auf dem in den vergangenen Jahren MON810-Mais von Monsanto angebaut wurde.

Die Stimmung ist gut, die lokale Presse war heute früh gut vertreten. Einige Aktivisten wollen so lange wie notwendig ausharren. In Gießen wird bereits seit einer Woche ebenso ein Feld (dort geht es um Versuche mit Gerste) besetzt, es deutet sich an, dass der Versuch dort abgesagt wird.

Verstärkung ist natürlich erwünscht, vom Bahnhof Wendlingen ist das Feld gut zu Fuß erreichbar, heute abend gibt es Vorträge und ab 0:00 Uhr eine Goa-Party auf dem Feld.

Meldung mit Wegbeschreibung bei Gendreck Weg

Bilder von mir zur freien Verwendung mit Quellenangabe.