BjOG – Bjou’s Blog, that is!

So tragisch und schlimm das alles ist, was gestern in Winnenden geschah: Die Schuldigen sind schon längst gefunden! Und wie nicht anders zu erwarten, sind es die üblichen Verdächtigen: Die Hersteller von Computer-Gewaltspielen. Sie haben es mal wieder geschafft und 15 unschuldige Menschen auf dem Gewissen.

Was musste ich heute auf Spiegel Online lesen?

Als bestätigt gilt inzwischen die Vorliebe des Amokläufers für Waffen und gewaltlastige Computerspiele. Demnach hat er in den vergangenen Monaten viel Zeit mit Killerspielen verbracht und in seiner Freizeit mit Softair-Waffen geschossen. “Das kann ich bestätigen”, sagte der Polizeisprecher Klaus Hinderer am Donnerstag der Deutschen Presse-Agentur. “Wir haben bei ihm unter anderem das Spiel Counter-Strike gefunden.”

Weiter heißt es:

“Dass der 17-Jährige auf der Flucht noch weiter um sich geschossen hat, ist ein Verhalten, das Jugendliche auch in Spielen wie Counter-Strike oder Crysis lernen können“, sagte der Präsident der Deutschen Stiftung für Verbrechensbekämpfung, Hans-Dieter Schwind, der “Neuen Osnabrücker Zeitung” und sprach sich für ein totales Verbot von Computer-Gewaltspielen [...] aus.

So einfach ist das. Ein Amoklauf und die Computerspiele sind schuld, nicht wahr, sehr geehrter Herr Schwind? Dass man diese Spiele aber garnicht verbieten kann, ist Ihnen auch klar? Wer ein solches Spiel will, der bekommt es auch. Das Internet bietet ungeahnte Möglichkeiten. Vielmehr sollte man soziale Kompetenzen und Vertrauenswerte aufbauen, denn kein gesunder Mensch, der sozial integriert und nicht psychisch labil ist, hat einen solchen Knacks weg. Millionen Menschen spielen weltweit gewalttätige Spiele. Aussetzer gibt es nur in Promillefällen und selbst hier ist nicht gesagt, dass die Spiele ein Grund dafür sind.

Ich für meinen Teil würde alle Autorennspiele verbieten. Täglich sterben Menschen auf deutschen Straßen aufgrund von Raserei. Raserei ist ein Verhalten, das Jugendliche auch in Spielen wie Need-for-Speed oder Grand Theft Auto lernen können. Daher spreche ich mich hiermit  für ein totales Verbot von Computer-Rennspielen aus. Schließlich bieten Autos Gefahrenpotentiale, durch welche in Deutschland wesentlich mehr Menschen umkommen als durch Schusswaffen.

After McColo has been taken offline, the Washington Post features nice graphs on how the spam volume dropped due to a massive amount of Command-and-Control servers hosted at McColo Corp.

Der große Datenklau-Skandal bei der Telekom ist noch nicht lange her. Dass ein solches Fiasko ein Unternehmen in schlechtes Licht rücken kann, ist jedermann klar. Trotzdem ist es immer wieder erschreckend, auf welch leichte Schulter einige Unternehmen ihre Datensicherheit nehmen. Naivität ist hier ganz groß geschrieben – erst recht, wenn eine Lücke bekannt ist, aber sich einfach keiner darum kümmern mag/darf/soll.

Vor ein paar Jahren hatte ich mich bei einer Agentur eingeschrieben, die Hochschulabsolventen, Young Professionals und Studierende in Teil- oder Vollzeit an Unternehmen vermittelt. Nachdem ich nun (auf anderen Wegen) einen Job gefunden habe, wollte ich meine Daten dort löschen (lassen). Zugriff auf sein eigenes hinterlegtes Profil in der Datenbank (für Updates) erlangte man über einen einfachen Link der Form

Verdächtig genug – keinerlei weitere Authentifikation. Der Hash, als Mapping auf die ID, sollte wohl Verifikation genug sein, um nicht auf andere Daten zugreifen zu können. Eine Art Passwort also, das der User jedoch nicht kennen muss, außer er will seine eigenen Daten updaten. Dann bekommt er den Link über die Firma zugeschickt. Um die Daten zu löschen fand man im eigenen Bestand jedoch keine Möglichkeit, also bat ich darum per e-mail. Long story short: Trotz Versicherung, dass die Daten gelöscht würden, geschah lange nichts und ich musste die Jungs dort vier Mal anschreiben – eigentlich unverschämt. Irgendwann wurde es mir zu viel und ich begann, das oben genannte Mapping über den Hash auf Sicherheitstauglichkeit zu überprüften. Die Sicherheitslücke, die ich dort fand, war gravierend. Letzendlich wurde der Raum, den der Hash bot, nicht einmal voll ausgenutzt, was es prinzipiell ermöglicht, über einfachste Brute-Force Techniken Nutzerdaten auszulesen. Eine kleine Hochrechnung zeigte, dass nur wenige Trial & Error Requests zur vollkommenen Entblößung des Datenbestandes weiterer Nutzer führte. Das Krasse an der Geschichte ist jedoch, dass das Unternehmen trotz meiner sofortigen Alarmierung mit der dringenden Bitte, diesen Security-Fauxpas zu fixen, bis heute (drei Wochen später) nichts dergleichen unternommen hat. Nicht einmal ein Statement wurde dazu abgegeben, ich bekam keine Antwort auf den Sachverhalt. Aber wenigstens habe ich erreicht was ich eigentlich wollte: Meine Daten sind gelöscht und damit erstmal sicher…

Yesterday I posted an analysis of Cutwail, today, while analyzing a Rustock/Costrat binary, I found something interesting:

Cutwail issued the following command to 208.66.194.232:80 (hosted by McColo, known for hosting nefarious stuff)

receiving the answer from the web server

followed by an encrypted/encoded binary. I have not been able to check that file out by now, but I might provide it to the interested reader upon request. The Rustock/Costrat binaries connect to the same network. These connections by Rustock to 208.66.194.0/24 are verified by Symantec and ThreatExpert.

Yet another proof that the top spam botnets are linked together in certain ways, this time in command-and-control.

Recently, while analyzing network traffic of a Cutwail binary (a spambot commonly installed by a trojan of the Pushdo family), I found some interesting behavior in its command-and-control communication. Although I expected some encrypted HTTP communication on port 4080 as stated in the recent research about the TOP Spam Botnets from April 2008, I found a completely different setup. First, there have been over a dozen backend nodes (motherships) all in the 216.195.[52-63] range. Analyzing the binary revealed more hard-coded IP addresses in Russia and the US: Read the rest of this entry »

Quick and dirty: Some new domain names (most of them created end of last week (7th-9th of August)) found during my analysis of a Warezov/Stration Binary. All of them are fast-fluxed. Expect some spam with these domains pretty soon. It probably already started, as my Honeypot served a lot of DNS Queries. Some domains already work (”European Pharmacy“, see screenshot), others still don’t. Domain Name List:
Read the rest of this entry »

Now I am not a tracker of storm campaigns nor binaries, I am just a casual binary analyst, but today while running a storm gateway for research purposes, I found some new domains going along with the revisited love theme and its postcard.exe.

worldpostcardart.com
superlettercard.com
yourlettercard.com
freepostcardonline.com
digitalaudiopostcard.com
lettercardadvertising.com
bestlettercard.com
audiopostcardmail.com
supergreetingcard.com
oldpostcardshop.com

While all the above domains have been created on August, 2nd, the following domain offers the Nameservers and has been created on July, 28th

brprbgok6.com

Diging these domains returns one IP with a TTL of 60 seconds, indicating Fast-Flux. I have not investigated earlier campaigns, but I wondered why only one IP was returned; typically for Fast-Flux, there is a whole bunch of short-lived IPs returned for one domain name.

The campaign’s website is kept simple:

The Binaries’ AntiVir Detection Rate is 19/36 (52.78%)

As I am the first to blog this and as I am currently not running a Storm Spambot, I guess we need to wait for Jeremy to fire up his automated extraction scripts for more insight on the respective spam messages

Update Aug 6th: Today I found more information on the spam messages at the Trend Micro Blog: http://blog.trendmicro.com/storm-uses-old-bait/.
Took them some time though…

Thorsten Holz kindly offered to blog my findings in Storm Worm Traffic for a larger readership. Maybe there will be some ideas on the mentioned patterns…

The other day I checked a rarely used website of mine for its its source, where I found some suspicious code. It seemed to be some kind of malicious iframe code for drive-by downloads, so I started my investigation on it. Be alarmed: I will NOT censor any of that code, so be sure NOT to visit these websites unless you know what you are doing.
Read the rest of this entry »

Ein schöner Artikel bei Welt Online zur Situation des 1. FCK. Schon zwei Wochen alt, aber sehr gut lesbar und genau richtig, um zum Entscheidungsspiel am Sonntag gegen Köln aufzuheizen. Ich hoffe, ich darf diesmal wieder vor dem Weiland’schen Fernseher tanzen – oder aber ich fahr echt hoch zum Betze: Im Brauhaus, Cafe am Mark und Hannen-Fass wird das Spiel im Großformat live übertragen.

Leise sagt er [Stefan Kuntz] Sätze wie: “Der FCK ist für die Menschen wie eine alte Liebe. Wir müssen sie nur ein wenig entstauben.” Oder, etwas lauter: “Es geht doch nicht an, dass hier auf der Geschäftsstelle alle in Einzelbüros sitzen. So kommen wir nie zusammen.” Und wenn Stefan Kuntz über den drohenden Abstieg reden muss, sagt er: “Natürlich neigt sich die Waage derzeit eher in Richtung Dritte Liga. Aber das wäre auch eine Chance. Wir könnten wie beim Computer den Reset-Knopf drücken.”
In Kaiserslautern hat Kuntz mit diesen Sätzen unerhörten Erfolg. Die ganze Stadt, einschließlich Bürgermeister und Uni-Präsident, redet davon, was für ein großartiger und dabei bodenständiger Kerl “der Stefan” doch sei.

Link: http://www.welt.de/welt_print/article1957386/Kmpfen_Lautern_kmpfen.htmlкомпютри

Außerdem gibt es angeblich ein Public Viewing auf dem Stiftsplatz!