Dr. Christopher Kunz

I just noticed that the frame source code for sites using the “.de.vu” Subdomain redirection site was changed to incorporate JavaScript to mine for BitCoins. Was this intentional or was the site cracked? See the attached image for details - I cross-verified this with another .de.vu frameset, but there’s no sign of BitCoin on www.nic.de.vu.  The Bitcoinplus user who benefits from this has the ID “3286433”.

Das Wetter in Hamburg ist dieses Wochenende mies - schlecht für das Mittelalterlich Phantasie Spectaculum in Bahrenfeld und für das Hörnerfest, das bei Elmshorn stattfindet. Für uns hieß das, daß ein kurzer Ausflug in die Innenstadt (Saturn!) und Gammeln auf dem Sofa den Großteil der Samstagsplanung ausmachen würde. Auf dem Weg (dank der HVV ist der Weg von Barmbek ins Zentrum momentan eher indirekt) haben wir noch spontan einen Abstecher zum Kulturflohmarkt gemacht, der direkt vis-a-vis der U- und S-Bahn-Haltestelle war. Der Nieselregen hat dem Flohmarkt einen Dämpfer verpaßt, es hat sich aber trotzdem gelohnt.

Für die Dame gab’s einen Ring aus ungewöhnlich grünem Bernstein und für mich ein Buch über die Ausgrabungen in Haithabu, das aus den 40er Jahren stammt. Zum Glück ist der Finanzier dieser Veröffentlichung im Inhalt nicht zu erahnen und der Text sowie die Illustrationen sind wirklich sehr nützlich.

Im Saturn angekommen, bekam ich von einem kundigen Fachberater (genau, Sascha! Du bist gemeint!) direkt die Bluray-Version der Herr-Der-Ringe Extended Edition in die Flosse gedrückt - sehr feines Teil. Leider hat sich Warner wohl beim Mastern der deutschen Tonspur ein paar Schnitzer geleistet und so werde ich im August wohl noch ein Set Blurays bekommen. Das ist nur fair.

Insgesamt ein erfolgreicher Tag für die EC-Karte.

Seit einiger Zeit gibt es an dieser Stelle wenig Kohärentes von mir zu lesen. Das liegt zum Einen daran, daß ich viel von den unausgereiften Gedanken auf Twitter einkippe, aber vor allem daran, daß ich schlicht nicht die Muße habe, mich in aller Ausführlichkeit in einem Blogartikel zu äußern. 

Nun habe ich in den letzten Monaten verstärkt an meiner Dissertation gearbeitet, so daß sich die Funkstille hier zumindest auszuzahlen scheint. Letztes Wochenende, genauer gesagt am Freitag abend im ICE nach Hamburg, fiel mir dann mehr zufällig auf, daß ich gerade das letzte Kapitel fertig geschrieben hatte - Zusammenfassung und Ausblick. Nun ist in jedem Kapitel zumindest Inhalt ungefähr in dem Umfang und in der Zusammensetzung, wie ich es mir vorgestellt hatte.

Das Ganze sieht dann so aus (nach dem Break):

Ich blogge normalerweise nur sehr, sehr dosiert über neue Produkte und sonstige werbliche Inhalte, die meine Firma betreffen - weil ich eigentlich glaube, daß das nur selten in dieses Blog gehört. Jetzt muß ich aber mal was loswerden, bevor ich vor Stolz platze :) 

Wir haben in den letzten Wochen ein neues Produkt gebaut, das ich richtig prima finde (und das sogar nur ein “Abfallprodukt” eines größeren Produkts ist. Es handelt sich um frei konfigurierbare VServer. Klingt unspektakulär, ist technisch aber gar nicht so trivial. Wir haben nun unter de-punkt.de ein praktisches Interface, mit dem sich Kunden ihren Server zusammenklicken können - genau so wie er sein soll und nicht in irgendwelche künstlichen Produktkategorien gezwängt. 

Technisch steht KVM dahinter, das inzwischen echt ein feiner Hypervisor ist und sehr schön per Commandline/libvirt ferngesteuert werden kann.Wir bauen gerade die Infrastruktur in einigermaßen HA auf, Livemigration und solche Dinge gehen dann auch. Das ist wichtig, damit Kunden auch jederzeit ihren VServer aufrüsten können, wenn sie mehr Leistung benötigen; außerdem natürlich im Fehlerfall.
Die ganze Infrastruktur kann IPv6, so daß Kunden auch ihren VServer mit einem kleinen Prefix (ich vergebe bei den ganz kleinen Dingern ein /96, auf Wunsch auch mehr) ausstatten können.

Was ich aber besonders cool finde: Das ganze Ding haben meine Kollegen Jens Rehpöhler und Philipp Schelkle de facto in Eigenregie in kürzester Zeit perfekt umgesetzt! Dafür ein ganz dickes Kompliment, das war wirklich klasse.

Als Vorbereitung für den World IPv6 Day am 8.6.: Wenn Ihr testen wollt, ob Ihr per IPv4 oder IPv6 auf meine Seiten geht, dann schaut auf diese kleine IPv6-Testseite.

Bald geht’s wieder rund, die Marktsaison beginnt für mich. An sich ist ja schon seit Ostern Saison, aber wegen meiner Dissertation muß ich ein paar Zugeständnisse machen. Dieses Jahr gibt’s Rastede, Bückeburg und Hamburg-Öjendorf, alle drei Teil der Veranstaltungsreihe “Mittelalterlich Phantasie Spectaculum”. Sicher keine Museumsmärkte, aber dafür organisatorisch ordentlich und vor allem gut zu erreichen.

Dieses Jahr gibt’s jede Menge Neues für mich, allen voran natürlich die neue Freundin, die schon ganz gespannt ist, wie es auf Märkten als Teilnehmer so zugeht. Dann kam Anfang März der neue Wagen (yay for 1%-Regelung!, powered by Filoo GmbH) und ein Steckbett haben wir auch. Mit dem unvergleichlichen Jan habe ich in der letzten Woche dann noch einen neuen Waffenständer gebaut, um das Spax-Ungetüm abzulösen, das mittlerweile die dritte oder vierte Saison unter der Prämisse “Den Schrott nehme ich auf keinen Fall wieder mit zurück nach Hause, den verfeuern wir” mitreiste. Außerdem habe ich im Winter zwei Frontstollentruhen gebaut, um das Lagerzeug möglichst authentisch im Zelt zu plazieren.

Da ich mir unsicher war, ob das ganze Gerümpel in den neuen Wagen überhaupt hineinpaßt, habe ich mit Miriam am letzten Wochenende einmal alles zusammengepackt und das Auto “probebeladen”. Das sieht dann so aus wie auf dem Foto.

Ein neuer Aketon aus Polen, ein neuer Waffenrock, ein Rundschild, (selbstgebauter!) Brillenhelm und Bemalung für meinen Topfhelm (teilweise im untenstehenden Foto zu sehen) stehen auch auf der langen “jetzt neu im Mai”-Liste. Natürlich passen Rundschild und Hochmittelalter-Darstellung nicht zusammen, aber ich will mir auch spätestens für die nächste Saison eine Wikinger-Zweitdarstellung zulegen.

Insgesamt hat sich in dieser Saison so viel geändert wie seit meinem Hobby-Start nicht. Es wird spannend zu sehen, wie die Märkte sich entwickeln.

Da sich bei so viel Veränderung auch viel altes Gedöns ansammelt, habe ich (hauptsächlich, um etwas Platz zu gewinnen) einige Sachen auf eBay eingestellt - vom alten Gürtel bis zum Kettenhandschuh ganz viele überflüssige Ausrüstungsgegenstände. Aus dem “wenn jemand einen Euro bietet, bin ich das Zeug wenigstens los” sind bis dato über 200 Euro Einnahmen geworden - ich bin beeindruckt.

Ich wünsche allen Lesern ein frohes und erfolgreiches 2011 und verabschiede mich mit diesem kurzen Posting wieder ins Bett...

Ich äußere mich normalerweise nicht öffentlich zu SEO-Fragen, weil ich davon schlicht zuwenig Ahnung habe, möchte aber trotzdem mal zu einem Punkt eine Diskussion anregen.

Was für Auswirkungen wird der neue MDStV auf Suchmaschinencrawling und -optimierung haben?

Ich betätige mich jetzt auch mal als Whisky-Guru mit einem neuen kleinen Blogprojekt: Whiskyguru Blog

Wer mitmachen will, ist herzlich willkommen!

Inspired by a little discussion on Twitter and this link, I needed to jot down a couple thoughts on con schemes.

We all know that con schemes in the Web are abundant.

The classic 419 scam involves a large amount of money that is in a safehouse, a deceased member of Nigerian nobility / government and your bank account - and millions of little bells start ringing. The atrocious English, the ridiculous amounts, the readiness to give up 40% of $ridiculous_amount for a little cooperation and the discrepance between the seriousness of the offer and the formal circumstances (web or freemail addresses, no personal message, spam flagging).

Then there’s slightly more twisted methods. For example, overdraft schemes. I’m trying to sell an iPhone. You buy it, pay with a cheque which accidentially has a “0” too much on the amount. You ask me to wire you back the excess money and when the cheque bounces, I’m out of an iPhone and 5,000$. Alarm bell: Payment with cheque and delivery to some weird country.

Then there’s the ticket resale scam mentioned in the link (in the first sentence of this post). There’s really not a lot of alarm bells to be rung there: You receive actual, legitimate goods before you pay and payment is via bank transfer (not Western Union or such). The only warning sign is the discrepancy between what you pay and what you get - paying $2,000 for a $15,000 airline ticket is a bit too good to be true.

However, I wonder you can determine the “sweet spot” that yields the best response rates. Let’s take a slight twist in the airline scheme. You use a bundle of stolen credit cards to buy iTunes gift card codes in bulk, say a couple thousand of them. These retail for $100. You resell the codes on a site like “itunes-for-everyone.com” stating that they are from a large corporate incentive bulk order. Now, what is the ideal price to sell them?

$10 is below most people’s pain threshold, they won’t go after you. however, the yield is minimal and probably not worth the effort.

$50 is still a 50% discount and seems unlikely to occur in any genuine situation. However, the amount is large enough to piss off people who you scammed and the yield is OK.

$80 would be a 20% discount from the original price - a percentage that might even be reached in legitimate sales promos by Apple themselves. However, it might already be too much money for many people to take the bait.

What do you think - which number would arouse your suspicion?

Unser aller Lieblingsversender (OK, nicht der des Buchhandels... OK, auch nicht der des Verlagswesens... naja, ihr wißt schon...!) bringt einen “Feiertag” aus den USA nach Deutschland - und zwar den “Cyber monday”. Davon habe ich bis eben auch noch nichts gehört, klingt aber durchaus spaßig.

Das hier sollte eigentlich ein Amazon-Review werden, aber dafür geriet es mir doch etwas zu lang. Und wieso Amazon Content schenken?

“Medal of Honor” ist schlecht. Aber so richtig. Was bin ich froh, für dieses Machwerk nur € 25,- bezahlt zu haben. Selbst diesen Betrag ist das Spiel nicht wert.

Erstmal ist die Singleplayer-Kampagne lächerlich kurz (kürzer als der Gegenwert von 25€ = 3*Kino = ~4,5h Unterhaltung) und eine kohärente Storyline ist nicht ersichtlich. Das wirre gerenderte Gedöns mit dem bösen General, der zuhause in den USA falsche Befehle gibt, lasse ich nicht als Story gelten; da ist ja die Background-Geschichte von Doom fantasievoller...

Dann ist das Scripting grauenvoll und technisch etwa auf dem Niveau von Medal of Honor: Allied Assault. Die in anderen Reviews aufgezeigten Fehler und Ungenauigkeiten in den Scripts sind nur der Gipfel des Eisbergs. Geometriefehler, “hängende” Gegner und Verbündete (die im übrigen unsterblich sind, also immer schön hinter ihnen halten) und andere Peinlichkeiten häufen sich. In einer Mission gilt es eine MG-Stellung zu erobern, die jedoch bei mir reproduzierbar weiterfeuerte, nachdem sämtliche Bediener tot waren - und das rundum. Das MG schwang einfach frei in seiner Halterung, wurde nicht bedient, traf aber trotzdem recht genau. Bei der Gelegenheit gilt es noch zu erwähnen: eine Screenshot-Taste wurde (wohl aus gutem Grund) eingespart.

Die Singleplayer-Kampagne ist bis auf eine einzige (!) Szene un-sag-bar langweilig und eintönig.
Ein möglicher Dialog der Soldatencharaktere:
“Oh, wir müssen ein matschbraunes afghanisches Dorf im Morgengrauen von Taliban säubern.”
“Oh, heute müssen wir ein genauso matschbraunes Dorf im Dunkeln säubern. Naja, wenigstens müssen wir nicht zu Fuß hinlaufen.”
“Oha, jetzt sind matschbraune Höhlen zu säubern. Und wir müssen da zu Fuß hin?!”
Realistisch? Realismus sieht anders aus. Die matschbraunen Dörfer haben nämlich an jeder ihrer Grenzen unüberwindliche Schutthaufen und fest verschlossene, aber recht wacklig aussehende Sperrholztüren zu bieten, damit der Spieler auch ja nicht vom rechten Weg abkommt. Und den Gegnern kann man buchstäblich beim Spawnen zusehen, man vermißt nur das kleine “Plöff”, das sie beim Sichtbarwerden eigentlich absondern müßten.

Die Grafik ist von der Sorte “been there, done that” und weder positiv noch besonders negativ hervorzuheben. Der Sound allerdings rockt. Hätten sich die Entwickler doch nur mit irgendeinem anderen Teil des Produkts derart viel Mühe gegeben.

Ach ja, und dank Online-Aktivierung ist der CD-Key verbraten und ich kann nicht mal mehr auf ein paar Euro auf dem Gebrauchtmarkt hoffen. Meh.

 

Finger weg. Warten auf das neue Call of Duty ist angesagt.

(EDIT:) Die EA-Jungs sehen’s selbst ein. Laut diesem Artikel sagt Patrick Soderlund/EA:

"What I can say is the game didn’t meet our quality
expectations. In order to be successful in that space, we’re going to
have to have a game that is really, really strong.

Der neue SEO-Contest ging gerade online und diesmal wird für den Erstplatzierten ein iPhone 4 ausgelobt - unter dem ruhrpott-patriotischen Namen “reVierphone”. Und was soll ich sagen - ich mache mal mit. Nur aus Spaß an der Freud’.

EDIT: Number two in the ranking, Jan, shares how he approached the challenge in a posting on the DCSec website. Also, Michael Oglesby, winner of the first place, has blogged about his way to the solution.

In a previous blog post, I had written about a couple of ideas for the DBIR cover challenge. Jan (a colleague from the DCSEC group of University of Hanover) and me finally solved the challenge today and I found out I HAD THE CORRECT SOLUTION FOR OVER A WEEK!

Unfortunately, my methodology seems to have been flawed.

There were a couple of hints for the challenge  (much to the organizers’ mock dismay), all pointing in the same direction:

• All we need is there in print (FINGERprint! First page!)


• The F+ is something that looks important at first... a false positive


• Put it together and google!
  

Shortly after the F+ hint came out, we already found the notion of the solution being something about the probability of a false positive and combed the report from end to end for anything even remotely resembling a false positive, an error in methodology, an unsolvable case or whatever. Nothing.

Then we thought, hey, wait... A false positive regarding a fingerprint? That might have to do with detection and those circles look like minutiae, too. So, are we looking for fingerprint detection rates? A quick google found us a Wikipedia article stating that the error rate is 1 in 64 billion.

I tried this passphrase and it didn’t work. So we abandoned that train of thought until yesterday and today, the hints got more and more urgent. It was not after Jan solved the riddle today that I re-examined my methodology and found out that I had been using a broken tool.

I, being somewhat PHP-centric, had written a script that used the PHP-OpenSSL extension (from what I know, a fairly straightforward OpenSSL API implementation), took a pass phrase candidate and put decryptions into text files. It iterated through every cipher in PHP-OpenSSL’s list and took string reversal, concatenation, uppercase, lowercase, mixed case and a couple other combinations into account. It could also take word lists and combine them to 1 to 4 word pass phrases.

I thought it was neat. But it doesn’t decrypt properly. Feeding it the base64 encoded ciphertext, the correct passphrase and the correct algorithm yields this result:

absynth@irc:~/public_html/breach$ php -r ‘var_dump( 

openssl_decrypt(

   file_get_contents(“./base64.txt”), 

   “aes-256-cbc”, 

   “1in64billion”));’

bool(false)

Huh? This should work, shouldn’t it? It doesn’t work with AES-256-CBC (in caps, both are in openssl’s cipher list) either.

The bash equivalent works (with an iteration over all ciphers):

for i in `cat ciphers.txt`; 

do

 openssl enc 

   -in base64.txt 

   -base64 

   -d 

   -k 1in64billion 

   -out candidates/dec$i.txt

   $i;

done

This gives us this result:

absynth@irc:~/public_html/breach$ cat candidates/dec-aes-256-cbc.txt
Congratulations! You’ve solved the 2010 DBIR Cover Challenge. If you happen
to be the among the first three people to see this message and email us the
correct answer to the question below, you will receive a prize.


Who calculated the probability of a false positive in using fingerprint
analysis for identification?


Email your answer to dbir@lists.verizonbusiness.com.

It’s annoying: I sat on the solution for over a week and I didn’t once doubt my methodology. 

So, this event teaches us two things:

1. Don’t use PHP for security purposes (Duh, I should have known)
   


2. Always triple-check your methodology.

However, it was great fun, from the start through the “I’m stumped” periods, anxiously awaiting  new hints and leads on Twitter, up to the weak attempt to drown everything in alcohol (that gave all participants a HUGE hangover).

And, as Jan stated in his Twitter feed, the challenge was an awesome bait by the Verizon guys - I have rarely read a publication as thoroughly as this one.

We achieved and turned our solutions in independently today, since I was at home (supposed to be working on my PhD thesis) and he was at work. We turned out second and third; the first place had gone to Michael Oglesby on saturday.

Thanks to all at DCSEC, to Ryan at ZDNet and the folks at Verizon. See you on Twitter

Seit langer Zeit habe ich nichts mehr hier verlauten lassen und das möchte ich nun nachholen. Seit Mai hat sich eigentlich gar nicht so viel ereignet, aber ein paar Sachen möchte ich doch  noch aufschreiben, bevor ich sie wieder vergesse.

China

Ende Juni war ich für eine Woche in China, um mein Paper “An attack-resilient Grid auditing infrastructure” auf der Konferenz IEEE WCNIS zu präsentieren. Die Konferenz war eigentlich eher auf drahtlose Netzwerke fokussiert, es ergaben sich aber trotzdem einige interessante Kontakte und der eine oder andere Vortrag war auch spannend. Allerdings war auch einiges an Mist dabei - besonders drollig fand ich das Paper, das einen Covert Channel in ARP requests vorstellte. Nutzdatenrate: 4 Byte pro Sekunde oder so. Wer denkt sich sowas aus?
Natürlich war auch etwas Zeit, um mir Stadt (Peking), Land und Leute anzusehen und einige fotografische Eindrücke zu sammeln. Die Fotos habe ich in meine Galerie zur IEEE WCNIS 2010 hochgeladen.

Neue Büros

Anfang Juli hat die Filoo GmbH nach fast 10 Jahren der bürolosen Geschäftstätigkeit (virtuelle Firma for the Win) endlich wieder eigene Büros in Gütersloh bezogen, ironischerweise in der Moltkestraße 25, die wir bereits vor 10 Jahren als .networking in etwas anderer Besetzung bewohnt haben. Einen der damaligen Mitgründer von .networking, Wolfgang Hein, habe ich letzte Woche bei einem Poetry Slam (übrigens mein erster, danke nochmal an Julia für den Tip! War echt interessant) wieder getroffen - man verliert sich ja trotz Internet doch etwas aus den Augen. Ein paar Fotos von der Außenansicht und der Büroeinrichtung findet man auf der Filoo-Twitterseite (Folgen!).
Übrigens: Wir haben noch schöne Büros im Erdgeschoß zu vermieten - ein Großraumbüro mit Durchgangsbüro und einem “Chefbüro”. Die Lage ist wirklich prima (5min in die Fußgängerzone, 10min zu Fuß zum Hbf, eigene Parkplätze), die Büros sind frisch renoviert, mit Cat6 ausgestattet und DSL gibt’s auch.

Bückeburg

Später im Juli war dann mal wieder Zeit, die Mittelaltermarktsaison zu eröffnen; diesmal war Bückeburg der erste Markt für mich, weil ich überhaupt keinen Nerv hatte, allein nach Rastede zu fahren. Und was für ein Markt es war! Das erste Wochenende schockte mit Höchsttemperaturen von 38°C nicht nur das Marktvolk, sondern auch die Besucher. Die entschieden sich dann nämlich, lieber im kühlen Haus das “kleine Finale” und das WM-finale zu schauen, als sich im Schweiße ihres Angesichts über die staubigen MPS-Wiesen zu schleppen. Dementsprechend war das erste Marktwochenende eher leer und Motivation wollte nicht so recht aufkommen. Wären die Gartenduschen und Rasensprenger, die der Veranstalter auf dem gesamten Gelände aufgestellt hatte, nicht gewesen, wären Teilnehmer wie Gäste reihenweise aus den Latschen gekippt.
Am zweiten Wochenende war’s kühler - und wie aufs Kommando kamen die Besuchermassen aus dem Keller gekrochen. Trotzdem kam bei mir wenig Stimmung auf; das mag auch mit den tragischen Ereignissen in unserer Gruppe zusammenhängen. Dieses Jahr steht nur noch öjendorf (erstes Septemberwochenende) auf meinem Festivalkalender, danach werde ich mir gründlich überlegen, ob ich weiter Märkte bereise.

Arts of Mars Championship

Richtig Stimmung kam dafür auf den Arts of Mars Championships auf, die Ende Juli in Apelern stattfanden. Von Sonntag bis Mittwoch gabs Seminare zu Schwertkampf (Schwert und Schild, Anderthalbhänder, Dussack, Langes Messer etc.), bis ich das Schwert buchstäblich nicht mehr fassen konnte. Sehr spannend! Auch die Seminare zu Ringen und Dolchkampf waren durchgehend auf hohem Niveau und sportlich wie technisch anspruchsvoll. Leider blieben die Besucherzahlen hinter den Erwartungen zurück und einige Trainer haben recht kurzfristig abgesagt - aber man kann ja nicht alles haben.

Mehr fällt mir momentan nicht ein - wer auf dem Laufenden bleiben will, sollte mir auf jeden Fall auf Twitter folgen (christopherkunz). Ich spiele jetzt noch eine Runde Starcraft 2.