Rants

EDIT: Number two in the ranking, Jan, shares how he approached the challenge in a posting on the DCSec website. Also, Michael Oglesby, winner of the first place, has blogged about his way to the solution.

In a previous blog post, I had written about a couple of ideas for the DBIR cover challenge. Jan (a colleague from the DCSEC group of University of Hanover) and me finally solved the challenge today and I found out I HAD THE CORRECT SOLUTION FOR OVER A WEEK!

Unfortunately, my methodology seems to have been flawed.

There were a couple of hints for the challenge  (much to the organizers’ mock dismay), all pointing in the same direction:

• All we need is there in print (FINGERprint! First page!)


• The F+ is something that looks important at first... a false positive


• Put it together and google!
  

Shortly after the F+ hint came out, we already found the notion of the solution being something about the probability of a false positive and combed the report from end to end for anything even remotely resembling a false positive, an error in methodology, an unsolvable case or whatever. Nothing.

Then we thought, hey, wait... A false positive regarding a fingerprint? That might have to do with detection and those circles look like minutiae, too. So, are we looking for fingerprint detection rates? A quick google found us a Wikipedia article stating that the error rate is 1 in 64 billion.

I tried this passphrase and it didn’t work. So we abandoned that train of thought until yesterday and today, the hints got more and more urgent. It was not after Jan solved the riddle today that I re-examined my methodology and found out that I had been using a broken tool.

I, being somewhat PHP-centric, had written a script that used the PHP-OpenSSL extension (from what I know, a fairly straightforward OpenSSL API implementation), took a pass phrase candidate and put decryptions into text files. It iterated through every cipher in PHP-OpenSSL’s list and took string reversal, concatenation, uppercase, lowercase, mixed case and a couple other combinations into account. It could also take word lists and combine them to 1 to 4 word pass phrases.

I thought it was neat. But it doesn’t decrypt properly. Feeding it the base64 encoded ciphertext, the correct passphrase and the correct algorithm yields this result:

absynth@irc:~/public_html/breach$ php -r ‘var_dump( 

openssl_decrypt(

   file_get_contents(“./base64.txt”), 

   “aes-256-cbc”, 

   “1in64billion”));’

bool(false)

Huh? This should work, shouldn’t it? It doesn’t work with AES-256-CBC (in caps, both are in openssl’s cipher list) either.

The bash equivalent works (with an iteration over all ciphers):

for i in `cat ciphers.txt`; 

do

 openssl enc -in base64.txt -base64 -d -k 1in64billion $i  -out candidates/dec$i.txt;

done

This gives us this result:

absynth@irc:~/public_html/breach$ cat candidates/dec-aes-256-cbc.txt 

Congratulations! You’ve solved the 2010 DBIR Cover Challenge. If you happen

to be the among the first three people to see this message and email us the

correct answer to the question below, you will receive a prize.



Who calculated the probability of a false positive in using fingerprint

analysis for identification?



Email your answer to dbir@lists.verizonbusiness.com.

It’s annoying: I sat on the solution for over a week and I didn’t once doubt my methodology. 

So, this event teaches us two things:

1. Don’t use PHP for security purposes (Duh, I should have known)
   


2. Always triple-check your methodology.

However, it was great fun, from the start through the “I’m stumped” periods, anxiously awaiting  new hints and leads on Twitter, up to the weak attempt to drown everything in alcohol (that gave all participants a HUGE hangover).

And, as Jan stated in his Twitter feed, the challenge was an awesome bait by the Verizon guys - I have rarely read a publication as thoroughly as this one.

We achieved and turned our solutions in independently today, since I was at home (supposed to be working on my PhD thesis) and he was at work. We turned out second and third; the first place had gone to Michael Oglesby on saturday.

Thanks to all at DCSEC, to Ryan at ZDNet and the folks at Verizon. See you on Twitter

Ich bin ja an sich kein Spießer, der sich über Falschparker aufregt, aber was bei uns vorm Rechenzentrum teilweise für Stunts abgeliefert werden, treibt jedem die Schamesröte ins Gesicht. Mein Kollege Michael hat das mal im Bild dokumentiert: Falschparker-Blog

Aber nicht mehr lange - bald kommt die Schranke zum Zug.

Bei Spiegel Online belustigt man sich seit einigen Tagen über die spaßigsten Filmklischees. Da kommt dann untenstehende Illustration bei heraus. (extended entry)

Achtung, wirre Gedanken ahead, nicht so ernst nehmen... In einem Gespräch mit Arzt fiel das Stichwort "Kredit ohne Schufa", was mich automatisch an zwei Dinge denken läßt (freies Assoziieren, ich komme!):

1. Peter Zwegat und "Raus aus den Schulden"
2. Schwarz-weiße Kleinanzeigen im ADAC-Clubmagazin

Ich lese seit Jahren von diesen "Krediten ohne Schufa", "Krediten bei negativer Schufa", oder auch "Schweizer Krediten" (weil die Zinsen so hoch wie die Alpen sind, vermutlich) und wollte jetzt mal schauen, was da so dahintersteckt.

Grundsätzlich geht es ja bei dieser Art der Kreditvergabe (übrigens auch gerne genommen: "Handy ohne Schufa", "Kreditkarte ohne Schufa", "Auto ohne Schufa", "Weißrussische Ehefrau ohne Schufa", "Selbstmord ohne Schufa" und was weiß ich) darum, daß die Vermittler bzw. die Kreditgeber sich die eigentlich bei jeglicher Art von Waren- und anderen Kreditgeschäften übliche Anfrage bei der Schufa bzgl. etwaiger Negativmerkmale sparen. Das lassen sie sich - so meine zu diesem Zeitpunkt des Blogartikels noch unbestätigte Vermutung - mit deutlich höheren Zinsen vergolden.

Schon desöfteren habe ich bemerkt (u.a. in alten Postings hier, die die letzten drölf Server- und Datenbankwechsel nicht überstanden haben), daß Spiegel Online seit Jahren konstant an Qualität verliert, das leider auch nicht durch Aktualität wettmacht - jedoch in meiner Bookmarkliste wegen der wenigstens ansatzweise vorhandenen Rundum-Newsversorgung noch einen Platz hat. So langsam wird’s aber wirklich peinlich.

Da ist man gerade ein paar Tage anderweitig beschäftigt (womit, erfahrt Ihr später an dieser Stelle), und verpaßt doch direkt, wie sich diverse christliche Blogger auf den guten alten Kieler Silberrücken Kris Köhntopp einschießen, und dabei ein ganz großes Faß aufmachen. Das kann ich als alter Berufsheide ja nicht unkommentiert lassen.

Jannis hat mit seinem SuperSized einen kostenlosen s9y-Dienst aufgemacht. Das freut mich, denn er ist damit Kunde bei uns
Was ihn (und mich) weniger freut, ist die Tatsache, daß Spammer wie ein angeblicher Rainer Safferthal diesen kostenlosen Dienst dazu nutzen, ihren PR aufzubessern. Aber der Jannis schiebt diesem Tun ja zum Glück einen Riegel vor.

Man sollte ja meinen, Peter Huth würde endlich mal langsam den Rand halten. Aber nein, der Meister der left.php ist leider wieder im Geschäft (u.a. wieder bei den mittlerweile für ihre grandios, äh, weiterbildenden Inhalte berüchtigten Sat1-Sendungen wie Planetopia.Online). Offenbar ist bei den Privatsendern die Fachkenntnis eher zweitrangig.

Die Diskussion über extremen Black Metal, NSBM, die gerade in Thüringen sehr stark vertretene “German Pagan Black Metal”-Szene und ihre politische Orientierung zieht oft sehr unangenehme Debatten nach sich. Schon mehr als einmal mußte ich mich vor irgendwelchen selbsternannten Moralwächtern rechtfertigen, weil ich nun einmal Bands gut finde, die als NSBMler verschrieen sind.
Die Site Live4Metal hat nun einen Artikel online (vermutlich auch schon länger, ich habe ihn nur erst gestern gefunden), der mir aus der Seele spricht.

Jedem regelmäßigen ICE-Reisenden passiert es vermutlich einmal, heute war halt ich dran: vor Seeltze kam ich in den Genuß eines etwa zweieinhalbstündigen Aufenthaltes. Schuld war ein Defekt am hinteren Triebwagen des ICE Bonn-Berlin.
Das alleine hat wenig Neuigkeitswert (außer für mich), aber die Art, wie die Bahn Kulanz zeigt, finde ich doch etwas kurios.

Ich dachte immer, eine Schreibblockade sei eine Ausrede fauler Schriftsteller, die sich als tolle Künstler fühlen und ein bißchen auf Diva machen wollen... aber dem ist nicht so. Ich müßte dringend mal mit meinem aktuellen Projekt in die Pötte kommen, aber leider kriege ich gar nichts auf die Kette. Die Ideen sind zwar grundsätzlich da, aber sobald ich versuche, sie in Word zu fassen (auch meine Wortspiele haben bessere Zeiten gesehen...), kommt nur verquaster unlesbarer Unsinn raus.
Dabei habe ich dieses Problem sonst eigentlich nicht, ein 15.000 Zeichen-Artikel kann auch schon mal in zwei Tagen fertig werden.
Gibt es irgendwas außer “weiter BFME spielen”, was ich dagegen tun kann?
BTW: Das Schreiben dieses Eintrages hat etwa eine Stunde gedauert...