Christopher Kunz

How to NOT solve the DBIR 2010 cover challenge

2010-08-26T21:51:25Z

EDIT: Number two in the ranking, Jan, shares how he approached the challenge in a posting on the DCSec website. Also, Michael Oglesby, winner of the first place, has blogged about his way to the solution.

In a previous blog post, I had written about a couple of ideas for the DBIR cover challenge. Jan (a colleague from the DCSEC group of University of Hanover) and me finally solved the challenge today and I found out I HAD THE CORRECT SOLUTION FOR OVER A WEEK!

Unfortunately, my methodology seems to have been flawed.

There were a couple of hints for the challenge (much to the organizers’ mock dismay), all pointing in the same direction:

All we need is there in print (FINGERprint! First page!)

The F+ is something that looks important at first... a false positive

Put it together and google!

Shortly after the F+ hint came out, we already found the notion of the solution being something about the probability of a false positive and combed the report from end to end for anything even remotely resembling a false positive, an error in methodology, an unsolvable case or whatever. Nothing.

Then we thought, hey, wait... A false positive regarding a fingerprint? That might have to do with detection and those circles look like minutiae, too. So, are we looking for fingerprint detection rates? A quick google found us a Wikipedia article stating that the error rate is 1 in 64 billion.

I tried this passphrase and it didn’t work. So we abandoned that train of thought until yesterday and today, the hints got more and more urgent. It was not after Jan solved the riddle today that I re-examined my methodology and found out that I had been using a broken tool.

I, being somewhat PHP-centric, had written a script that used the PHP-OpenSSL extension (from what I know, a fairly straightforward OpenSSL API implementation), took a pass phrase candidate and put decryptions into text files. It iterated through every cipher in PHP-OpenSSL’s list and took string reversal, concatenation, uppercase, lowercase, mixed case and a couple other combinations into account. It could also take word lists and combine them to 1 to 4 word pass phrases.

I thought it was neat. But it doesn’t decrypt properly. Feeding it the base64 encoded ciphertext, the correct passphrase and the correct algorithm yields this result:

absynth@irc:~/public_html/breach$ php -r ‘var_dump( 

openssl_decrypt(

   file_get_contents(“./base64.txt”), 

   “aes-256-cbc”, 

   “1in64billion”));’

bool(false)

Huh? This should work, shouldn’t it? It doesn’t work with AES-256-CBC (in caps, both are in openssl’s cipher list) either.

The bash equivalent works (with an iteration over all ciphers):

for i in `cat ciphers.txt`; 

do

 openssl enc -in base64.txt -base64 -d -k 1in64billion $i  -out candidates/dec$i.txt;

done

This gives us this result:

absynth@irc:~/public_html/breach$ cat candidates/dec-aes-256-cbc.txt 

Congratulations! You’ve solved the 2010 DBIR Cover Challenge. If you happen

to be the among the first three people to see this message and email us the

correct answer to the question below, you will receive a prize.



Who calculated the probability of a false positive in using fingerprint

analysis for identification?



Email your answer to dbir@lists.verizonbusiness.com.

It’s annoying: I sat on the solution for over a week and I didn’t once doubt my methodology.

So, this event teaches us two things:

Don’t use PHP for security purposes (Duh, I should have known)

Always triple-check your methodology.

However, it was great fun, from the start through the “I’m stumped” periods, anxiously awaiting new hints and leads on Twitter, up to the weak attempt to drown everything in alcohol (that gave all participants a HUGE hangover).

And, as Jan stated in his Twitter feed, the challenge was an awesome bait by the Verizon guys - I have rarely read a publication as thoroughly as this one.

We achieved and turned our solutions in independently today, since I was at home (supposed to be working on my PhD thesis) and he was at work. We turned out second and third; the first place had gone to Michael Oglesby on saturday.

Thanks to all at DCSEC, to Ryan at ZDNet and the folks at Verizon. See you on Twitter

Revierphone Contest

2010-08-27T18:32:45Z

Der neue SEO-Contest ging gerade online und diesmal wird für den Erstplatzierten ein iPhone 4 ausgelobt - unter dem ruhrpott-patriotischen Namen “reVierphone”. Und was soll ich sagen - ich mache mal mit. Nur aus Spaß an der Freud’.

Wrapup Mai - August

2010-08-14T15:16:57Z

Seit langer Zeit habe ich nichts mehr hier verlauten lassen und das möchte ich nun nachholen. Seit Mai hat sich eigentlich gar nicht so viel ereignet, aber ein paar Sachen möchte ich doch noch aufschreiben, bevor ich sie wieder vergesse.

China

Ende Juni war ich für eine Woche in China, um mein Paper “An attack-resilient Grid auditing infrastructure” auf der Konferenz IEEE WCNIS zu präsentieren. Die Konferenz war eigentlich eher auf drahtlose Netzwerke fokussiert, es ergaben sich aber trotzdem einige interessante Kontakte und der eine oder andere Vortrag war auch spannend. Allerdings war auch einiges an Mist dabei - besonders drollig fand ich das Paper, das einen Covert Channel in ARP requests vorstellte. Nutzdatenrate: 4 Byte pro Sekunde oder so. Wer denkt sich sowas aus?
Natürlich war auch etwas Zeit, um mir Stadt (Peking), Land und Leute anzusehen und einige fotografische Eindrücke zu sammeln. Die Fotos habe ich in meine Galerie zur IEEE WCNIS 2010 hochgeladen.

Neue Büros

Anfang Juli hat die Filoo GmbH nach fast 10 Jahren der bürolosen Geschäftstätigkeit (virtuelle Firma for the Win) endlich wieder eigene Büros in Gütersloh bezogen, ironischerweise in der Moltkestraße 25, die wir bereits vor 10 Jahren als .networking in etwas anderer Besetzung bewohnt haben. Einen der damaligen Mitgründer von .networking, Wolfgang Hein, habe ich letzte Woche bei einem Poetry Slam (übrigens mein erster, danke nochmal an Julia für den Tip! War echt interessant) wieder getroffen - man verliert sich ja trotz Internet doch etwas aus den Augen. Ein paar Fotos von der Außenansicht und der Büroeinrichtung findet man auf der Filoo-Twitterseite (Folgen!).
Übrigens: Wir haben noch schöne Büros im Erdgeschoß zu vermieten - ein Großraumbüro mit Durchgangsbüro und einem “Chefbüro”. Die Lage ist wirklich prima (5min in die Fußgängerzone, 10min zu Fuß zum Hbf, eigene Parkplätze), die Büros sind frisch renoviert, mit Cat6 ausgestattet und DSL gibt’s auch.

Bückeburg

Später im Juli war dann mal wieder Zeit, die Mittelaltermarktsaison zu eröffnen; diesmal war Bückeburg der erste Markt für mich, weil ich überhaupt keinen Nerv hatte, allein nach Rastede zu fahren. Und was für ein Markt es war! Das erste Wochenende schockte mit Höchsttemperaturen von 38°C nicht nur das Marktvolk, sondern auch die Besucher. Die entschieden sich dann nämlich, lieber im kühlen Haus das “kleine Finale” und das WM-finale zu schauen, als sich im Schweiße ihres Angesichts über die staubigen MPS-Wiesen zu schleppen. Dementsprechend war das erste Marktwochenende eher leer und Motivation wollte nicht so recht aufkommen. Wären die Gartenduschen und Rasensprenger, die der Veranstalter auf dem gesamten Gelände aufgestellt hatte, nicht gewesen, wären Teilnehmer wie Gäste reihenweise aus den Latschen gekippt.
Am zweiten Wochenende war’s kühler - und wie aufs Kommando kamen die Besuchermassen aus dem Keller gekrochen. Trotzdem kam bei mir wenig Stimmung auf; das mag auch mit den tragischen Ereignissen in unserer Gruppe zusammenhängen. Dieses Jahr steht nur noch öjendorf (erstes Septemberwochenende) auf meinem Festivalkalender, danach werde ich mir gründlich überlegen, ob ich weiter Märkte bereise.

Arts of Mars Championship

Richtig Stimmung kam dafür auf den Arts of Mars Championships auf, die Ende Juli in Apelern stattfanden. Von Sonntag bis Mittwoch gabs Seminare zu Schwertkampf (Schwert und Schild, Anderthalbhänder, Dussack, Langes Messer etc.), bis ich das Schwert buchstäblich nicht mehr fassen konnte. Sehr spannend! Auch die Seminare zu Ringen und Dolchkampf waren durchgehend auf hohem Niveau und sportlich wie technisch anspruchsvoll. Leider blieben die Besucherzahlen hinter den Erwartungen zurück und einige Trainer haben recht kurzfristig abgesagt - aber man kann ja nicht alles haben.

Mehr fällt mir momentan nicht ein - wer auf dem Laufenden bleiben will, sollte mir auf jeden Fall auf Twitter folgen (christopherkunz). Ich spiele jetzt noch eine Runde Starcraft 2.

The DBIR 2010 challenge so far

2010-08-11T19:23:00Z

OK, we all know the drill (after 3 Firefox crashes I cba to write up everything again). There’s a crypto challenge in DBIR 2010. This is what I know (or think to know) so far:

There’s crypto data on the last page. It’s Base64 encoded OpenSSL encrypted (“Salted__”) something. No visible block delimiters, no obvious magic numbers... No idea which algorithm it might be. It’s 400 Bytes of data, minus 8 Bytes for the “Salted__” prefix, minus 8 Bytes for the actual salt = 384 Bytes.
That means: 12 blocks with 32 Bytes each, or 6 blocks with 64 Bytes.

There’s a nearly invisible JPEG on the first page (a b/w fingerprint picture). Extracting this picture from the PDF and feeding it to stegdetect yields a high-confidence rating for JPHide steganography data in the picture.

stegdetect (but no other JPEG analysis tool I have tried) also complains about an erroneous 10 Bytes between the last JPEG block and the EOF marker (0xFFD9. These bytes are: 0A 7F FA BB AF FC 01 FE B8 AB. They have no meaningful ASCII or Unicode representation. Rotating them around bit by bit through the ASCII table does not yield a word. Feeding them as a passphrase (either binary or ascii) to stegcrack does not succeed.

That’s where I stand now. There’s others who are also attempting to defeat the challenge, but so far last year’s challenge seems to have been easier (it was solved in about a day).

EDIT: I have fed the dictionary file made out of the report through a steganography tool (for the b/w image). @bachrach has fed it through OpenSSL. It seems that no single word in the report is the passphrase. I also looked for occurances of “password, passphrase, pass, key” etc. - no clues.

John Malcom Single Malt Whisky

2007-05-19T11:58:52Z

John Malcom Single Malt Whisky

Ab und an gibt es bei Discountern neben dem üblichen Fusel Marke “Pennerglück” auch Whiskies der etwas gehobeneren Sorte. So verkauft Lidl unter der Handelsmarke “Ben Bracken” den nicht überragenden, aber ordentlichen Tamnavulin (76 Punkte von Jackson für den zwölfjährigen) und im Penny-Markt gibt es jetzt einen Single Malt Whisky namens “John Malcom”. Wie für Handelsmarken üblich, zeigt dieser Whisky nicht ein einziges Indiz auf seine wahre Herkunft. Die Merkmale “Product of Scotland” und “Single Malt”, die m.E. zumindest halbwegs rechtlich geschützt sind, lassen jedoch den Schluß zu, daß da wirklich ein Single Malt drin ist. Für € 12,99 kann man sich das Experiment ruhig mal leisten, daher habe ich mir eine Flasche gekauft. Google findet genau gar nichts zu dieser Marke, daher versuche ich mal selber eine Einordnung.

Der Whisky ist laut Etikett 12 Jahre alt und hat exakt 40%.

Continue reading "John Malcom Single Malt Whisky"

Single Malt Whisky Tasting - Ardbeg Committee vs. Serie

2010-02-01T11:39:53Z

Ich war also gestern in der Oscar’s Bar in Hannover zum Whisky-Tasting (meinem ersten professionell organisierten übrigens).

Das Tasting konzentrierte sich vollständig auf die Islay-Destille Ardbeg, war also ein Vertikaltasting - sehr passend für mich, denn Ardbeg ist einer meiner Lieblingsmalts. Da er sehr, sehr torfig und recht rauchig ist, ist das aber sicher kein Whisky für Jedermann.

Es gab insgesamt 6 feine Single Malt Whiskys, allesamt Faßstärke (von 54 bis 59,9Vol.-%):

Very Young Committee (1997 - 2003)

Ardbeg Renaissance (1998 - 2008)

Corryvreckan Committee

Corrywreckan Regular

Young Uigeadail Committee 2009

Uigeadail 2008

Es war spannend zu schmecken, wie selbst zwei relativ ähnliche Abfüllungen komplett unterschiedlich schmecken können, denn von den 6 Whiskys schmeckte nicht einer wie der andere. Von relativ entspannt (Uigeadail 2008 / Corryvreckan) bis zu sehr, sehr stark (Very Young Committee) war alles dabei.

Das einzige “Problem” war, daß 6 Whiskys mit Cask Strength in der Leber und im Kopf doch nach einiger Zeit einen ziemlichen Eindruck hinterlassen - gestern Abend habe ich außer Torf und Rauch nicht mehr viel Anderes geschmeckt... Die Auswahl der Whiskys war aber trotzdem vorzüglich.

Geleitet wurde das Tasting von Ralf Berger (MaltWhiskyTastings.de)

IP-Umzug in den nächsten Tagen

2010-04-21T07:04:40Z

Der Server, auf dem dieses Blog läuft, wird in den nächsten Tagen seine IP-Adresse wechseln. Leider geht das nicht parallel zu der bestehenden Adresse (weil die Kiste auch in ein anderes VLAN gestopft wird). Daher kann es sein, daß Ihr dieses Blog und meine Galerie in den nächsten Tagen sporadisch nicht erreichen könnt.