Entries from Hanno Böck

Ich wusste doch immer dass die von der Filmindustrie das mit dem Internetz nicht verstanden haben:

I wrote a few days ago (only in german) about my requests to the 1und1-support for information about the hardware of our rootserver (to complete the PCI ID database).

Now, after their first reply, I now got another mail with more useful information: They pointed me to the tool dmidecode, which can find lot's of information about the BIOS and the motherboard. Didn't know that before, it's also useful to find out the BIOS version on a running system.

Now, this looks like what I was looking for:
Handle 0x0002, DMI type 2, 8 bytes
Base Board Information
Manufacturer: FUJITSU SIEMENS
Product Name: D2030-A1

Note: This is just a short form of a german article I posted today. E-Plus is a big german mobile telephony provider. I've found a bunch of XSS together with Alexander Brachmann (responsible disclosure, all reported to E-Plus before, probably more to come).

For my english visitors, here are the urls:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('

Already fixed ones:
http://www.eplus.de/frame.asp?go=http://www.google.de/
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com

Von XSS (Cross Site Scripting) spricht man, wenn es durch Usereingaben möglich ist, bei einer Seite eigenen HTML und JavaScript-Code einzufügen. Das ist insbesondere dann ein Problem, wenn die Seite (auf der selben Domain reicht) in irgendeiner Weise Sessions und Accounts nutzt. Warum? Weil es trivial möglich ist, mit etwas JavaScript-Code das Session-Cookie zu übertragen und somit den Account zu hijacken.

Ein simples Beispiel:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>

Durch die bloße Eingabe von "><script>alert(1)</script> oder <script>alert(1)</script> lässt sich jedes Formular auf triviale XSS-Probleme checken (einfach mal ausprobieren).

Problemfall Frames: Aufgrund der Tatsache, dass ein bestimmter Framezustand nicht in einer URL festhaltbar ist, haben sich viele Menschen mehr oder weniger sinnvolle Fakes ausgedacht, die dann häufig in der Form http://mydomain.com/framescript?location=siteinframe daherkommen.
Nun kann man sowas ausnutzen, um in einem Frame eine Fremdseite darzustellen. Bis vor kurzem funktionierte dies noch:
http://www.eplus-unternehmen.de/frame.asp?go=http://www.google.de/
Kurze Zeit später wurde selbiges gefiltert, mit folgendem kam man aber immer noch weiter:
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com
Gehen inzwischen alle nicht mehr.
Problem? Phishing. Funktioniert selbiges bei einer Bank oder einem sonstigen Unternehmen, bei dem größere Beträge eine Rolle spielen, ist es für Phisher attraktiv, unbedarften Menschen eine Nachricht zu schicken, die eine echt aussehende URL des Unternehmens enthält.

Was bei obriger URL nach wie vor funktioniert, ist eine etwas trickreichere JavaScript-Injection:
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('
Das schöne hierbei ist, dass die Variable direkt in bereits bestehenden JavaScript-Code eingefügt wird.

Desweiteren hat eplus noch mehr Domains und anderswo funktioniert es noch:
http://www.eplus-unlimited.de/3_1_jingles/index.jsp?toLoad=http://www.google.de//

E-Plus wurde vor über einem Monat mit den ersten Lücken kontaktiert. Die Schließung erfolgte schleppend, weswegen mir die Veröffentlichung hier angemessen erscheint. Die Veröffentlichung wurde vor einer Woche angekündigt. Es wurden keine Lücken publiziert, von denen E-Plus nicht schon mindestens vor einer Woche bescheid wusste.

Credits gehen vor allem an Alexander Brachmann.

In aller Regel betreibe ich Responsible Disclosure: Vor einer öffentlichen Publizierung wird der Anbieter oder Autor der Software mit Vorlauf informiert.

Heut abend beim Webmontag gibt's ne Kurz-Präsentation.

Ich gehör ja noch zu den Idealisten, die wegen Klimawandel, Lärm, Waldsterben, Fächenverbrauch und Co. kein Auto besitzen. Allerdings weiss ich gelegentlich die Nutzung eines fahrbaren Untersatzes doch zu schätzen, finde jedoch bei dem, was es gerade auf dem Markt gibt, nichts, was ansatzweise akzeptabel wär. Zwar hege ich keine seltsam nationalistischen Vorurteile gegen Toyota, finde den Verbrauch des Autos von Boris Palmer jedoch mit knapp 5 Litern immer noch weit über dem, was man eigentlich will. Kleiner 2l/100km wär schon Requirement.

Stefan bloggt über den Loremo, was schonmal deutlich besser klingt. Zwar Diesel (Rußpartikel, Feinstaub), aber immerhin mal ein Spritverbrauch, der für die nächsten 10 Jahre noch im akzeptablen Bereich liegt.

Ich hab zwar keine Ahnung, was OKTE ist oder was die anbieten, aber die haben mir gerade Spam geschickt.

Sidenote:
okte.cn/user.asp?n="><script>alert(1)</script>

(Copy & Paste bitte, ich hoffe, dass das so deren Pagerank nicht positiv beeinflußt)

No responsible disclosure for spammers!

Wie ich ja gestern schrieb, bin ich gerade bemüht, die Device ID-Datenbanken von Linux zu ergänzen. Unser 1und1-Rootserver antwortet auf ein lspci -v mit mehreren Zeilen der Form:
Subsystem: Fujitsu Siemens Computer GmbH Unknown device 1099

Weswegen ich mich bemühte, durch folgende Nachricht an den Support Auskunft über das verwendete Board zu erhalten:
Ich würde gerne die Hardwaredaten unseres Servers vollständig in der Linux PCI ID Datenbank erfasst haben ( http://pciids.sf.net ).
Dafür benötige ich die genaue Produktbezeichnung des in unserem Server verwendeten Motherboards. Es handelt sich, soweit ich sehen kann, um ein Fujitsu-Siemens-Modell.

Beantwortet wurde dies mit:
wenn Sie den Befehl lspci -v per SSH ausführen, sollten Ihnen dazu weitere Informationen angezeigt werden.

Ich erspare mir glaube ich jeden weiteren Kommentar.

(eine gleichzeitig abgeschickte Anfrage an Hetzner wurde übrigens ohne Probleme beantwortet)

Ich bin ja bekennender KDE und Konqueror-Fan, aber ein zentrales Feature fehlt: Das DHTML-Lemmings läuft hier nicht, weswegen man Firefox bemühen muss.

Escapa! ist auch sehr nett und läuft auch im Konqueror.

A thing that people often ask in the free software world: I can't program but I want to help out somewhere.

Theres one thing that's very simple to do for everyone using Linux. We have two tools called lspci and lsusb that look on the pci/usb-bus for installed devices. Each device has an ID, consisting of a vendor ID and a product ID. Everyone can check the own hardware if everything is detectet. For lspci, first run update-pciids, then lspci -v. Each »Unknown« represents some ID that's not in pci.ids. Report the exact device model name to the interface on http://pciids.sourceforge.net/.
For lsusb, run update-usbids and attach all usb devices you can find. lsusb doesn't show Unknown, if after a device number there's only a vendor name, then the ID is unknown. The usb.ids database is much more incomplete than the pci database. They don't have such a fancy interface as pciids, just send it to the current maintainer (listed in the file usually at /usr/share/misc/usb.ids or /usr/share/usb.ids).

So, die Bilder sind online (von Fabian gibt's auch ein paar).

Sehr nett fand ich heute den Vortrag »Linux und Freie Software richtig bewerben« von Meike Reichle. Einige eigentlich zwar selbstverständliche, aber dennoch sinnig mal auszuführende Anmerkungen zu typischen Fehlern a la »Umlaute brauch ich nicht« (was beim Benutzer als »Linux hat keine Umlaute« ankommt).

Die gerade noch laufende Linux-Nacht fiel etwas unangenehm auf durch eine seltsame "wer auf's Klo will, muss 5 EUR hinterlegen und darf nur 15 min brauchen«-Regelung, aufgrund einer im selben Gebäude stattfindenden Party auf. Im Messegebäude begrüßte einen ein Bücherstand mit einem Windows-System im Hintergrund auf dem Beamer.

Ansonsten isses aber ne gelungene Veranstaltung. Hab heute abend noch eine spontane Kurzvorführung von OpenStreetMap gemacht.

In größerer Gruppe werden wir morgen die Chemnitzer Linux-Tage entern. Wie das so ist, Streß kurz vor dem losfahren, ist auch alles dabei, Navi, Digikam, PGP-Keysigning-Liste etc. Bebilderter Report folgt sicher.

I'm actively participating in the OpenStreetMap project since about a week. Today I tagged two roads google maps doesn't know about (so at least in one very small part of the world osm is more accurate than google).
They're the Euro- and D-Mark street in Murrhardt. And yes, they invent stupid street names here.

Binary drivers are imho a hughe problem for free software. Nvidia, leading graphics company, has produced binary linux drivers for a long time and there was no way to get free software 3D-support on their cards.
A group of people is working at the moment on a free nvidia driver, the project is called nouveau. I now had a chance to test the nouveau driver on a nvidia card (nv43). It doesn't do much at the moment, but at least it runs glxgears almost smooth.

It's nice to see development on that front. We made a small video of glxgears running on nouveau. Oh, for all those who can't play theora, I put it up on youtube (but seriously, was just curious how youtube works and if it accepts theora).

Some experimental nouveau-ebuilds, maintained by pq from the nouveau-project, are here:
svn co https://svn.hboeck.de/nouveau-overlay

I live in a dormitory where I get cheap and fast internet access, but http only through a proxy. It's a pity to set this up in all apps every time I come here and disable it again when I wanna get online somewhere else, cause there's no centralized point to do so (there are many apps out there that just ignore http_proxy env var).
Now, it wasn't possible to directly forward http requests to the dormitory proxy, because it misses some options required for that. Maybe it's possible with more iptables skills, would require http-header rewriting.

My solution was setting up a local squid, forward requests via iptables to that and configure the dormitory proxy as a parent. I found that there's a lot of documentation out there, but also lot's of outdated stuff (squid configuration options significantly changed) and stuff you won't understand if you are no proxy-guru.

Now, some lines in my squid.conf:
http_port 7777 transparent
visible_hostname 127.0.0.1
acl local src [myip]/255.255.255.255
http_access allow local
cache_peer proxy.mynetwork.com parent 3128 3130 proxy-only

First line enables all Options required to allow transparent http and sets the port to 7777 (can be anything, just shouldn't collide with any service you might run). visible_hostname is required, something that resolves to localhost. The acl and http_access lines will deny any requests from other hosts, and finally, cache_peer sets the upstream proxy (just replace proxy.mynetwork.com with whatever your network proxy is).
Beside, there's some line starting with hierarchy_stoplist, you need to comment that out, else it won't allow you to use urls with GET variables.

Now, for the iptables-part, it's pretty simple:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to 127.0.0.1:7777

I've now added squid to my default runlevel, it doesn't take that long to start. My network setup scripts contain above iptables-line for the dormitory and the squid is just ignored elsewhere. One problem though I haven't debugged enough to know the cause is that sometimes it seems to be unable to deliver POST vars, e. g. the function search of php.net doesn't work.

For your info, my system is Gentoo Linux with squid 2.6.9, iptables 1.3.7 and kernel 2.6.20.

We got a huge trackback spam DDoS the last days that caused our servers to be unavailable for some hours. Most probably caused by some botnet. That's really a pain, you're so defenseless against that kind of threat. Filtering them is like trying to stop ants from entering your house by closing their entrance holes.
But anyway, I decided to write some abuse-mails to the contacts of some of the source IPs. I even got ONE reply (from Neighbourhood Cable, if you're looking for an ISP in australia, have a look at them, they must be good). I also got this:

<k55k559@bora.net|/webmail/mbox5/bora.net/961/k55k559|2|204800|209715200|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(209715200), usage:(209874944) [0m

<saehym@bora.net|/webmail/mbox0/bora.net/865/saehym|2|51200|58454016|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(52428800), usage:(58474496) [0m

Now, who in the world gives IPs out to people who aren't able to configure their mailboxes? Boranet, the source of that, seems to belong to the company LG, also producing Hardware. Maybe an interesting fact when you buy your next CD burner.