Am 13.12. war die Prüfung, jetzt darf ich auch offiziell verkünden: Ich bin nun Dr.-Ing. (Doktor-Ingenieur). Ich habe meine Doktorprüfung mit “sehr gut” bestanden (der zweitbesten Note) und seit heute darf ich mit Übergabe der Promotionsurkunde meinen Titel auch führen.
Ich werde später noch ausführlich dazu bloggen (insbesondere über den Promotionsprozeß, das Schreiben der Diss etc.), hier vorab schon mal das wichtigste: Die Urkunde.
Vielen Dank an alle, die an diesem Erfolg beteiligt waren!
Voodoo Carrier IQ Detector report:
Build fingerprint:
Huawei/U8510/hwu8510:2.3.3/HuaweiU8510/C169B850:user/ota-rel-keys,release-keys
Carrier IQ elements found
? however it seems inactive
Detection score: 70
Test for: Linux kernel interfaces
(KERNEL_INTERFACES, weight 50)
nothing found
Test for: Android logcat debugging log
(LOGCAT, weight 100)
nothing found
Test for: Linux kernel drivers
(KERNEL_DRIVERS, weight 50)
nothing found
Test for: System services
(SERVICES, weight 70)
nothing found
Test for: ROM binaries and daemons
(SYSTEM_BINARIES, weight 70)
found: /system/bin/iqmsd
found: /system/lib/libiq_service.so
found: /system/lib/libiq_client.so
Test for: ROM configs
(ETC_CONFIG, weight 0)
nothing found
Test for: Packages
(PACKAGES, weight 70)
nothing found
Test for: Running processes
(RUNNING_PROCESSES, weight 200)
nothing found
Test for: Suspicious classes
(SUSPICIOUS_CLASSES, weight 0)
found: com.carrieriq.iqagent.service.receivers.BootCompletedReceiver
Test for: Linux kernel dmesg log
(DMESG, weight 100)
nothing found
--
Voodoo CarrierIQ Detector 2.0.5
Im Zuge meines Darstellungswechsels (vom Hochmittelalter ins Frühmittelalter, 10. Jahrhundert) wollte ich auch einen neuen Körperpanzer anschaffen, der etwas mehr Funktionalität als das alte Kettenhemd hat. Das ist als Schlagschutz nämlich denkbar ungeeignet und Stiche zum Körper sind im Freikampf keine Gefahr. Neben einem einigermaßen vollständigen vernieteten/gestanzten Kettenhemd, das in Gjermundbu gefunden wurde, existieren aus der Wikingerzeit wohl relativ wenige Belege für Rüstungsteile; am nächsten dran sind noch einige in Schweden (Birka) gefundene Stahllamellen, die wohl Teil eines Lamellenpanzers waren. Diese Panzer sind aus späteren Zeiten und anderen Regionen bekannt - da die Waräger eine rege Reisetätigkeit gen Byzanz unternommen hatten, ist es wohl nicht zu weit hergeholt, daß Lamellenpanzer im 10. Jahrhundert bekannt, wenn auch nicht unbedingt sehr beliebt waren. Sagas berichten wohl davon, daß Krieger ihre Rüstung wegen des zu warmen Wetters vor der Schlacht im Lager ließen und lieber ohne kämpften.
Trekstor hat mit dem “i.gear Slider” nun eine pfiffige Alternative vorgestellt, die ich mir gleich angeschafft habe. Es handelt sich bei dem Gerät um ein Hardcase, an das unten eine Bluetooth-Tastatur angeschnallt ist. Diese Tastatur wird von einem LiIon-Akku gespeist, der eine Standbyzeit von bis zu 45 Tagen haben und sich für 8 Stunden Dauerbetrieb eignen soll.
Das Tastenfeld ist etwa 10,5cm breit und 2,4cm hoch - für die einzelne Taste bleibt bei 4 Tastenreihen eine Höhe von etwa 6mm und eine Breite von 8mm. Das ist sicherlich nicht Fullsize, aber eben doch größer als die Fitzelchen auf dem iPhone-Bildschirm.
I just noticed that the frame source code for sites using the “.de.vu” Subdomain redirection site was changed to incorporate JavaScript to mine for BitCoins. Was this intentional or was the site cracked? See the attached image for details - I cross-verified this with another .de.vu frameset, but there’s no sign of BitCoin on www.nic.de.vu. The Bitcoinplus user who benefits from this has the ID “3286433”.
Das Wetter in Hamburg ist dieses Wochenende mies - schlecht für das Mittelalterlich Phantasie Spectaculum in Bahrenfeld und für das Hörnerfest, das bei Elmshorn stattfindet. Für uns hieß das, daß ein kurzer Ausflug in die Innenstadt (Saturn!) und Gammeln auf dem Sofa den Großteil der Samstagsplanung ausmachen würde. Auf dem Weg (dank der HVV ist der Weg von Barmbek ins Zentrum momentan eher indirekt) haben wir noch spontan einen Abstecher zum Kulturflohmarkt gemacht, der direkt vis-a-vis der U- und S-Bahn-Haltestelle war. Der Nieselregen hat dem Flohmarkt einen Dämpfer verpaßt, es hat sich aber trotzdem gelohnt.
Für die Dame gab’s einen Ring aus ungewöhnlich grünem Bernstein und für mich ein Buch über die Ausgrabungen in Haithabu, das aus den 40er Jahren stammt. Zum Glück ist der Finanzier dieser Veröffentlichung im Inhalt nicht zu erahnen und der Text sowie die Illustrationen sind wirklich sehr nützlich.
Im Saturn angekommen, bekam ich von einem kundigen Fachberater (genau, Sascha! Du bist gemeint!) direkt die Bluray-Version der Herr-Der-Ringe Extended Edition in die Flosse gedrückt - sehr feines Teil. Leider hat sich Warner wohl beim Mastern der deutschen Tonspur ein paar Schnitzer geleistet und so werde ich im August wohl noch ein Set Blurays bekommen. Das ist nur fair.
Insgesamt ein erfolgreicher Tag für die EC-Karte.
Ich blogge normalerweise nur sehr, sehr dosiert über neue Produkte und sonstige werbliche Inhalte, die meine Firma betreffen - weil ich eigentlich glaube, daß das nur selten in dieses Blog gehört. Jetzt muß ich aber mal was loswerden, bevor ich vor Stolz platze :)
Wir haben in den letzten Wochen ein neues Produkt gebaut, das ich richtig prima finde (und das sogar nur ein “Abfallprodukt” eines größeren Produkts ist. Es handelt sich um frei konfigurierbare VServer. Klingt unspektakulär, ist technisch aber gar nicht so trivial. Wir haben nun unter de-punkt.de ein praktisches Interface, mit dem sich Kunden ihren Server zusammenklicken können - genau so wie er sein soll und nicht in irgendwelche künstlichen Produktkategorien gezwängt.
Technisch steht KVM dahinter, das inzwischen echt ein feiner Hypervisor ist und sehr schön per Commandline/libvirt ferngesteuert werden kann.Wir bauen gerade die Infrastruktur in einigermaßen HA auf, Livemigration und solche Dinge gehen dann auch. Das ist wichtig, damit Kunden auch jederzeit ihren VServer aufrüsten können, wenn sie mehr Leistung benötigen; außerdem natürlich im Fehlerfall.
Die ganze Infrastruktur kann IPv6, so daß Kunden auch ihren VServer mit einem kleinen Prefix (ich vergebe bei den ganz kleinen Dingern ein /96, auf Wunsch auch mehr) ausstatten können.
Was ich aber besonders cool finde: Das ganze Ding haben meine Kollegen Jens Rehpöhler und Philipp Schelkle de facto in Eigenregie in kürzester Zeit perfekt umgesetzt! Dafür ein ganz dickes Kompliment, das war wirklich klasse.
Bald geht’s wieder rund, die Marktsaison beginnt für mich. An sich ist ja schon seit Ostern Saison, aber wegen meiner Dissertation muß ich ein paar Zugeständnisse machen. Dieses Jahr gibt’s Rastede, Bückeburg und Hamburg-Öjendorf, alle drei Teil der Veranstaltungsreihe “Mittelalterlich Phantasie Spectaculum”. Sicher keine Museumsmärkte, aber dafür organisatorisch ordentlich und vor allem gut zu erreichen.
Dieses Jahr gibt’s jede Menge Neues für mich, allen voran natürlich die neue Freundin, die schon ganz gespannt ist, wie es auf Märkten als Teilnehmer so zugeht. Dann kam Anfang März der neue Wagen (yay for 1%-Regelung!, powered by Filoo GmbH) und ein Steckbett haben wir auch. Mit dem unvergleichlichen Jan habe ich in der letzten Woche dann noch einen neuen Waffenständer gebaut, um das Spax-Ungetüm abzulösen, das mittlerweile die dritte oder vierte Saison unter der Prämisse “Den Schrott nehme ich auf keinen Fall wieder mit zurück nach Hause, den verfeuern wir” mitreiste. Außerdem habe ich im Winter zwei Frontstollentruhen gebaut, um das Lagerzeug möglichst authentisch im Zelt zu plazieren.
Da ich mir unsicher war, ob das ganze Gerümpel in den neuen Wagen überhaupt hineinpaßt, habe ich mit Miriam am letzten Wochenende einmal alles zusammengepackt und das Auto “probebeladen”. Das sieht dann so aus wie auf dem Foto.
Ein neuer Aketon aus Polen, ein neuer Waffenrock, ein Rundschild, (selbstgebauter!) Brillenhelm und Bemalung für meinen Topfhelm (teilweise im untenstehenden Foto zu sehen) stehen auch auf der langen “jetzt neu im Mai”-Liste. Natürlich passen Rundschild und Hochmittelalter-Darstellung nicht zusammen, aber ich will mir auch spätestens für die nächste Saison eine Wikinger-Zweitdarstellung zulegen.
Insgesamt hat sich in dieser Saison so viel geändert wie seit meinem Hobby-Start nicht. Es wird spannend zu sehen, wie die Märkte sich entwickeln.
Da sich bei so viel Veränderung auch viel altes Gedöns ansammelt, habe ich (hauptsächlich, um etwas Platz zu gewinnen) einige Sachen auf eBay eingestellt - vom alten Gürtel bis zum Kettenhandschuh ganz viele überflüssige Ausrüstungsgegenstände. Aus dem “wenn jemand einen Euro bietet, bin ich das Zeug wenigstens los” sind bis dato über 200 Euro Einnahmen geworden - ich bin beeindruckt.
Ich betätige mich jetzt auch mal als Whisky-Guru mit einem neuen kleinen Blogprojekt: Whiskyguru Blog
Wer mitmachen will, ist herzlich willkommen!
EDIT: Number two in the ranking, Jan, shares how he approached the challenge in a posting on the DCSec website. Also, Michael Oglesby, winner of the first place, has blogged about his way to the solution.
In a previous blog post, I had written about a couple of ideas for the DBIR cover challenge. Jan (a colleague from the DCSEC group of University of Hanover) and me finally solved the challenge today and I found out I HAD THE CORRECT SOLUTION FOR OVER A WEEK!
Unfortunately, my methodology seems to have been flawed.
There were a couple of hints for the challenge (much to the organizers’ mock dismay), all pointing in the same direction:
Shortly after the F+ hint came out, we already found the notion of the solution being something about the probability of a false positive and combed the report from end to end for anything even remotely resembling a false positive, an error in methodology, an unsolvable case or whatever. Nothing.
Then we thought, hey, wait... A false positive regarding a fingerprint? That might have to do with detection and those circles look like minutiae, too. So, are we looking for fingerprint detection rates? A quick google found us a Wikipedia article stating that the error rate is 1 in 64 billion.
I tried this passphrase and it didn’t work. So we abandoned that train of thought until yesterday and today, the hints got more and more urgent. It was not after Jan solved the riddle today that I re-examined my methodology and found out that I had been using a broken tool.
I, being somewhat PHP-centric, had written a script that used the PHP-OpenSSL extension (from what I know, a fairly straightforward OpenSSL API implementation), took a pass phrase candidate and put decryptions into text files. It iterated through every cipher in PHP-OpenSSL’s list and took string reversal, concatenation, uppercase, lowercase, mixed case and a couple other combinations into account. It could also take word lists and combine them to 1 to 4 word pass phrases.
I thought it was neat. But it doesn’t decrypt properly. Feeding it the base64 encoded ciphertext, the correct passphrase and the correct algorithm yields this result:
absynth@irc:~/public_html/breach$ php -r ‘var_dump(
openssl_decrypt(
file_get_contents(“./base64.txt”),
“aes-256-cbc”,
“1in64billion”));’
bool(false)
Huh? This should work, shouldn’t it? It doesn’t work with AES-256-CBC (in caps, both are in openssl’s cipher list) either.
The bash equivalent works (with an iteration over all ciphers):
for i in `cat ciphers.txt`;
do
openssl enc
-in base64.txt
-base64
-d
-k 1in64billion
-out candidates/dec$i.txt
$i;
done
This gives us this result:
absynth@irc:~/public_html/breach$ cat candidates/dec-aes-256-cbc.txt
Congratulations! You’ve solved the 2010 DBIR Cover Challenge. If you happen
to be the among the first three people to see this message and email us the
correct answer to the question below, you will receive a prize.
Who calculated the probability of a false positive in using fingerprint
analysis for identification?
Email your answer to dbir@lists.verizonbusiness.com.
It’s annoying: I sat on the solution for over a week and I didn’t once doubt my methodology.
So, this event teaches us two things:
(Duh, I should have known)However, it was great fun, from the start through the “I’m stumped” periods, anxiously awaiting new hints and leads on Twitter, up to the weak attempt to drown everything in alcohol (that gave all participants a HUGE hangover).
And, as Jan stated in his Twitter feed, the challenge was an awesome bait by the Verizon guys - I have rarely read a publication as thoroughly as this one.
We achieved and turned our solutions in independently today, since I was at home (supposed to be working on my PhD thesis) and he was at work. We turned out second and third; the first place had gone to Michael Oglesby on saturday.
Thanks to all at DCSEC, to Ryan at ZDNet and the folks at Verizon. See you on Twitter
Inspired by a little discussion on Twitter and this link, I needed to jot down a couple thoughts on con schemes.
We all know that con schemes in the Web are abundant.
The classic 419 scam involves a large amount of money that is in a safehouse, a deceased member of Nigerian nobility / government and your bank account - and millions of little bells start ringing. The atrocious English, the ridiculous amounts, the readiness to give up 40% of $ridiculous_amount for a little cooperation and the discrepance between the seriousness of the offer and the formal circumstances (web or freemail addresses, no personal message, spam flagging).
Then there’s slightly more twisted methods. For example, overdraft schemes. I’m trying to sell an iPhone. You buy it, pay with a cheque which accidentially has a “0” too much on the amount. You ask me to wire you back the excess money and when the cheque bounces, I’m out of an iPhone and 5,000$. Alarm bell: Payment with cheque and delivery to some weird country.
Then there’s the ticket resale scam mentioned in the link (in the first sentence of this post). There’s really not a lot of alarm bells to be rung there: You receive actual, legitimate goods before you pay and payment is via bank transfer (not Western Union or such). The only warning sign is the discrepancy between what you pay and what you get - paying $2,000 for a $15,000 airline ticket is a bit too good to be true.
However, I wonder you can determine the “sweet spot” that yields the best response rates. Let’s take a slight twist in the airline scheme. You use a bundle of stolen credit cards to buy iTunes gift card codes in bulk, say a couple thousand of them. These retail for $100. You resell the codes on a site like “itunes-for-everyone.com” stating that they are from a large corporate incentive bulk order. Now, what is the ideal price to sell them?
$10 is below most people’s pain threshold, they won’t go after you. however, the yield is minimal and probably not worth the effort.
$50 is still a 50% discount and seems unlikely to occur in any genuine situation. However, the amount is large enough to piss off people who you scammed and the yield is OK.
$80 would be a 20% discount from the original price - a percentage that might even be reached in legitimate sales promos by Apple themselves. However, it might already be too much money for many people to take the bait.
What do you think - which number would arouse your suspicion?
Unser aller Lieblingsversender (OK, nicht der des Buchhandels... OK, auch nicht der des Verlagswesens... naja, ihr wißt schon...!) bringt einen “Feiertag” aus den USA nach Deutschland - und zwar den “Cyber monday”. Davon habe ich bis eben auch noch nichts gehört, klingt aber durchaus spaßig.
Das hier sollte eigentlich ein Amazon-Review werden, aber dafür geriet es mir doch etwas zu lang. Und wieso Amazon Content schenken? 
“Medal of Honor” ist schlecht. Aber so richtig. Was bin ich froh, für dieses Machwerk nur € 25,- bezahlt zu haben. Selbst diesen Betrag ist das Spiel nicht wert.
Finger weg. Warten auf das neue Call of Duty ist angesagt.
(EDIT:) Die EA-Jungs sehen’s selbst ein. Laut diesem Artikel sagt Patrick Soderlund/EA:
"What I can say is the game didn’t meet our quality
expectations. In order to be successful in that space, we’re going to
have to have a game that is really, really strong.