Christopher Kunz

Revierphone Contest

Der neue SEO-Contest ging gerade online und diesmal wird für den Erstplatzierten ein iPhone 4 ausgelobt - unter dem ruhrpott-patriotischen Namen “reVierphone”. Und was soll ich sagen - ich mache mal mit. Nur aus Spaß an der Freud’.

How to NOT solve the DBIR 2010 cover challenge

EDIT: Number two in the ranking, Jan, shares how he approached the challenge in a posting on the DCSec website. Also, Michael Oglesby, winner of the first place, has blogged about his way to the solution.

In a previous blog post, I had written about a couple of ideas for the DBIR cover challenge. Jan (a colleague from the DCSEC group of University of Hanover) and me finally solved the challenge today and I found out I HAD THE CORRECT SOLUTION FOR OVER A WEEK!

Unfortunately, my methodology seems to have been flawed.

There were a couple of hints for the challenge (much to the organizers’ mock dismay), all pointing in the same direction:

All we need is there in print (FINGERprint! First page!)

The F+ is something that looks important at first... a false positive

Put it together and google!

Shortly after the F+ hint came out, we already found the notion of the solution being something about the probability of a false positive and combed the report from end to end for anything even remotely resembling a false positive, an error in methodology, an unsolvable case or whatever. Nothing.

Then we thought, hey, wait... A false positive regarding a fingerprint? That might have to do with detection and those circles look like minutiae, too. So, are we looking for fingerprint detection rates? A quick google found us a Wikipedia article stating that the error rate is 1 in 64 billion.

I tried this passphrase and it didn’t work. So we abandoned that train of thought until yesterday and today, the hints got more and more urgent. It was not after Jan solved the riddle today that I re-examined my methodology and found out that I had been using a broken tool.

I, being somewhat PHP-centric, had written a script that used the PHP-OpenSSL extension (from what I know, a fairly straightforward OpenSSL API implementation), took a pass phrase candidate and put decryptions into text files. It iterated through every cipher in PHP-OpenSSL’s list and took string reversal, concatenation, uppercase, lowercase, mixed case and a couple other combinations into account. It could also take word lists and combine them to 1 to 4 word pass phrases.

I thought it was neat. But it doesn’t decrypt properly. Feeding it the base64 encoded ciphertext, the correct passphrase and the correct algorithm yields this result:

absynth@irc:~/public_html/breach$ php -r ‘var_dump( 

openssl_decrypt(

   file_get_contents(“./base64.txt”), 

   “aes-256-cbc”, 

   “1in64billion”));’

bool(false)

Huh? This should work, shouldn’t it? It doesn’t work with AES-256-CBC (in caps, both are in openssl’s cipher list) either.

The bash equivalent works (with an iteration over all ciphers):

for i in `cat ciphers.txt`; 

do

 openssl enc -in base64.txt -base64 -d -k 1in64billion $i  -out candidates/dec$i.txt;

done

This gives us this result:

absynth@irc:~/public_html/breach$ cat candidates/dec-aes-256-cbc.txt 

Congratulations! You’ve solved the 2010 DBIR Cover Challenge. If you happen

to be the among the first three people to see this message and email us the

correct answer to the question below, you will receive a prize.



Who calculated the probability of a false positive in using fingerprint

analysis for identification?



Email your answer to dbir@lists.verizonbusiness.com.

It’s annoying: I sat on the solution for over a week and I didn’t once doubt my methodology.

So, this event teaches us two things:

Don’t use PHP for security purposes (Duh, I should have known)

Always triple-check your methodology.

However, it was great fun, from the start through the “I’m stumped” periods, anxiously awaiting new hints and leads on Twitter, up to the weak attempt to drown everything in alcohol (that gave all participants a HUGE hangover).

And, as Jan stated in his Twitter feed, the challenge was an awesome bait by the Verizon guys - I have rarely read a publication as thoroughly as this one.

We achieved and turned our solutions in independently today, since I was at home (supposed to be working on my PhD thesis) and he was at work. We turned out second and third; the first place had gone to Michael Oglesby on saturday.

Thanks to all at DCSEC, to Ryan at ZDNet and the folks at Verizon. See you on Twitter

Wrapup Mai - August

Seit langer Zeit habe ich nichts mehr hier verlauten lassen und das möchte ich nun nachholen. Seit Mai hat sich eigentlich gar nicht so viel ereignet, aber ein paar Sachen möchte ich doch noch aufschreiben, bevor ich sie wieder vergesse.

China

Ende Juni war ich für eine Woche in China, um mein Paper “An attack-resilient Grid auditing infrastructure” auf der Konferenz IEEE WCNIS zu präsentieren. Die Konferenz war eigentlich eher auf drahtlose Netzwerke fokussiert, es ergaben sich aber trotzdem einige interessante Kontakte und der eine oder andere Vortrag war auch spannend. Allerdings war auch einiges an Mist dabei - besonders drollig fand ich das Paper, das einen Covert Channel in ARP requests vorstellte. Nutzdatenrate: 4 Byte pro Sekunde oder so. Wer denkt sich sowas aus?
Natürlich war auch etwas Zeit, um mir Stadt (Peking), Land und Leute anzusehen und einige fotografische Eindrücke zu sammeln. Die Fotos habe ich in meine Galerie zur IEEE WCNIS 2010 hochgeladen.

Neue Büros

Anfang Juli hat die Filoo GmbH nach fast 10 Jahren der bürolosen Geschäftstätigkeit (virtuelle Firma for the Win) endlich wieder eigene Büros in Gütersloh bezogen, ironischerweise in der Moltkestraße 25, die wir bereits vor 10 Jahren als .networking in etwas anderer Besetzung bewohnt haben. Einen der damaligen Mitgründer von .networking, Wolfgang Hein, habe ich letzte Woche bei einem Poetry Slam (übrigens mein erster, danke nochmal an Julia für den Tip! War echt interessant) wieder getroffen - man verliert sich ja trotz Internet doch etwas aus den Augen. Ein paar Fotos von der Außenansicht und der Büroeinrichtung findet man auf der Filoo-Twitterseite (Folgen!).
Übrigens: Wir haben noch schöne Büros im Erdgeschoß zu vermieten - ein Großraumbüro mit Durchgangsbüro und einem “Chefbüro”. Die Lage ist wirklich prima (5min in die Fußgängerzone, 10min zu Fuß zum Hbf, eigene Parkplätze), die Büros sind frisch renoviert, mit Cat6 ausgestattet und DSL gibt’s auch.

Bückeburg

Später im Juli war dann mal wieder Zeit, die Mittelaltermarktsaison zu eröffnen; diesmal war Bückeburg der erste Markt für mich, weil ich überhaupt keinen Nerv hatte, allein nach Rastede zu fahren. Und was für ein Markt es war! Das erste Wochenende schockte mit Höchsttemperaturen von 38°C nicht nur das Marktvolk, sondern auch die Besucher. Die entschieden sich dann nämlich, lieber im kühlen Haus das “kleine Finale” und das WM-finale zu schauen, als sich im Schweiße ihres Angesichts über die staubigen MPS-Wiesen zu schleppen. Dementsprechend war das erste Marktwochenende eher leer und Motivation wollte nicht so recht aufkommen. Wären die Gartenduschen und Rasensprenger, die der Veranstalter auf dem gesamten Gelände aufgestellt hatte, nicht gewesen, wären Teilnehmer wie Gäste reihenweise aus den Latschen gekippt.
Am zweiten Wochenende war’s kühler - und wie aufs Kommando kamen die Besuchermassen aus dem Keller gekrochen. Trotzdem kam bei mir wenig Stimmung auf; das mag auch mit den tragischen Ereignissen in unserer Gruppe zusammenhängen. Dieses Jahr steht nur noch öjendorf (erstes Septemberwochenende) auf meinem Festivalkalender, danach werde ich mir gründlich überlegen, ob ich weiter Märkte bereise.

Arts of Mars Championship

Richtig Stimmung kam dafür auf den Arts of Mars Championships auf, die Ende Juli in Apelern stattfanden. Von Sonntag bis Mittwoch gabs Seminare zu Schwertkampf (Schwert und Schild, Anderthalbhänder, Dussack, Langes Messer etc.), bis ich das Schwert buchstäblich nicht mehr fassen konnte. Sehr spannend! Auch die Seminare zu Ringen und Dolchkampf waren durchgehend auf hohem Niveau und sportlich wie technisch anspruchsvoll. Leider blieben die Besucherzahlen hinter den Erwartungen zurück und einige Trainer haben recht kurzfristig abgesagt - aber man kann ja nicht alles haben.

Mehr fällt mir momentan nicht ein - wer auf dem Laufenden bleiben will, sollte mir auf jeden Fall auf Twitter folgen (christopherkunz). Ich spiele jetzt noch eine Runde Starcraft 2.

The DBIR 2010 challenge so far

OK, we all know the drill (after 3 Firefox crashes I cba to write up everything again). There’s a crypto challenge in DBIR 2010. This is what I know (or think to know) so far:

There’s crypto data on the last page. It’s Base64 encoded OpenSSL encrypted (“Salted__”) something. No visible block delimiters, no obvious magic numbers... No idea which algorithm it might be. It’s 400 Bytes of data, minus 8 Bytes for the “Salted__” prefix, minus 8 Bytes for the actual salt = 384 Bytes.
That means: 12 blocks with 32 Bytes each, or 6 blocks with 64 Bytes.

There’s a nearly invisible JPEG on the first page (a b/w fingerprint picture). Extracting this picture from the PDF and feeding it to stegdetect yields a high-confidence rating for JPHide steganography data in the picture.

stegdetect (but no other JPEG analysis tool I have tried) also complains about an erroneous 10 Bytes between the last JPEG block and the EOF marker (0xFFD9. These bytes are: 0A 7F FA BB AF FC 01 FE B8 AB. They have no meaningful ASCII or Unicode representation. Rotating them around bit by bit through the ASCII table does not yield a word. Feeding them as a passphrase (either binary or ascii) to stegcrack does not succeed.

That’s where I stand now. There’s others who are also attempting to defeat the challenge, but so far last year’s challenge seems to have been easier (it was solved in about a day).

EDIT: I have fed the dictionary file made out of the report through a steganography tool (for the b/w image). @bachrach has fed it through OpenSSL. It seems that no single word in the report is the passphrase. I also looked for occurances of “password, passphrase, pass, key” etc. - no clues.

IP-Umzug in den nächsten Tagen

Der Server, auf dem dieses Blog läuft, wird in den nächsten Tagen seine IP-Adresse wechseln. Leider geht das nicht parallel zu der bestehenden Adresse (weil die Kiste auch in ein anderes VLAN gestopft wird). Daher kann es sein, daß Ihr dieses Blog und meine Galerie in den nächsten Tagen sporadisch nicht erreichen könnt.

Dave Rawlings Sparringschwerter / HEMA Open Championships 2010

Wir warten gespannt auf die Trainingsschwerter der “Dave Rawlings Range”, die es sowohl ein- als auch zweihändig geben wird - leider kommt The Knight Shop wohl nicht so ganz in die Hufe mit der Produktion.

Aktueller Stand lt. Knight Shop:

FINAL CONFIRMED
FACTORY RELEASE DATE WEEK BEGINNING 15TH MARCH. WE ARE VERY SORRY ABOUT
THE DELAYS BUT REST ASSURED YOU WILL RECEIVE A SUPERIOR PRODUCT!

Das Video zeigt Sparring und Drills mit “pre production” Modellen und sieht schon mal recht vielversprechend aus.

Außerdem kann man sich nach wie vor auf der Website von Arts of Mars für die World Wide Open Championships anmelden. Vom 24.7. bis 01.08. gibt es in Apelern bei Hannover jede Menge Workshops zu historischen Kampfkünsten (von I.33 bis Langschwert) und ein Langschwert-Turnier. Tickets kosten ab 110 Euro inkl. Verpflegung, zzgl. Unterkunft. Zelten ist auf dem Gelände kostenlos möglich.

April, April!

Es ist ja am 1. April üblich, mit mehr oder weniger lustigen Aprilscherzen die Leserschaft on- und offline ein wenig zu verkohlen. Hier sammle ich die Aprilscherze, die mir so über den Weg laufen:

Tagesschau: DNS-Rootserver werden abgeschaltet

Heise: Geheimer Detektor am LHC für Mini-Schwarze-Löcher (passend hierzu: Webcam)

Irgendwer: E-Mail Porto in Deutschland

Irgendwer anders: Zentrale Handynummern-Vergabe

F-Secure: Rickroll protector

XKCD: Command-Line Interface

Gimahhot: Photovoltaik-Bypass-Trafo

FAZ.net: Produktrückruf: iPad-Display schmilzt

Bild: Unglaublich unwitzig

Piratenpartei: Jacob Maria Mierscheid tritt der Piratenpartei bei

Castingshow-News: Studio abgebrannt

Zack-Zack.eu: Katze im Sack für 9,99

Youtube: Textmodus

Rewe: Aus Eigenmarke Ja! wird Nö! Mehr zahl’ ich nicht

niconsulting: Angela Merkel bucht SEO-Seminar

Titanic: Gruner & Jahr kauft die Titanic

Telegraph.co.uk: Breitband-Frettchen

Telemedicus: GEMA für Musikinstrumente

ORF.at: Social Network für EU-Beamte

TechCrunch: DIY-Crunchpad

The Register: Beschwerde von Iren gegen ungälisches iPad

ThinkGeek: iPad Arcade - wieso bloß glaube ich, daß das bis nächste Woche jemand nachgebaut hat?

Razer: “Razer Venom”, die intravenöse Gamerdroge

Pro-Linux: Papierversion der Website

Wikipedia.en: Wife Selling

Kodak: Aromatography - Fotos mit Duft (erinnert mich an die Duft-PC-Erweiterungskarte vor 20 Jahren in der DOS International 04/1991 oder so)

Opera: Opera Space Edition

TechCrunch: Irgendwas mit Google und Energie

T-Online: Lena darf nicht nach Oslo

Engadget: Google Envelop transformiert E-Mail zu Sackpost

Blizzard hat wohl zuviel Zeit, ich kenne gleich drei Aprilscherze: Neural Interface for World of Warcraft und ein Equipment Potency Meter sowie eine leicht angepaßte Darstellung der Armory-Profile

Ruthe.de und Nichtlustig haben getauscht.

Slashdot: Videochat in den Kommentaren

MSN Deutschland: Westerwelle nackt für PETA

Google fügt jedem Suchvorgang eine Einheitenumrechnung hinzu:

Results 1 - 10 of about 534,000 for xxx.
(1.10 times the velocity of an unladen swallow)

Results 1 - 10 of about 2,960,000 for bgp.
(0.14 centibeats)

Results 1 - 10 of about 3,680,000
for christopher kunz. (0.08 nanocenturies)

etc.

Außerdem gibts das neue Translate for Animals bei Google UK.

Mal sehen, was noch kommt...

Single Malt Whisky Tasting - Ardbeg Committee vs. Serie

Ich war also gestern in der Oscar’s Bar in Hannover zum Whisky-Tasting (meinem ersten professionell organisierten übrigens).

Das Tasting konzentrierte sich vollständig auf die Islay-Destille Ardbeg, war also ein Vertikaltasting - sehr passend für mich, denn Ardbeg ist einer meiner Lieblingsmalts. Da er sehr, sehr torfig und recht rauchig ist, ist das aber sicher kein Whisky für Jedermann.

Es gab insgesamt 6 feine Single Malt Whiskys, allesamt Faßstärke (von 54 bis 59,9Vol.-%):

Very Young Committee (1997 - 2003)

Ardbeg Renaissance (1998 - 2008)

Corryvreckan Committee

Corrywreckan Regular

Young Uigeadail Committee 2009

Uigeadail 2008

Es war spannend zu schmecken, wie selbst zwei relativ ähnliche Abfüllungen komplett unterschiedlich schmecken können, denn von den 6 Whiskys schmeckte nicht einer wie der andere. Von relativ entspannt (Uigeadail 2008 / Corryvreckan) bis zu sehr, sehr stark (Very Young Committee) war alles dabei.

Das einzige “Problem” war, daß 6 Whiskys mit Cask Strength in der Leber und im Kopf doch nach einiger Zeit einen ziemlichen Eindruck hinterlassen - gestern Abend habe ich außer Torf und Rauch nicht mehr viel Anderes geschmeckt... Die Auswahl der Whiskys war aber trotzdem vorzüglich.

Geleitet wurde das Tasting von Ralf Berger (MaltWhiskyTastings.de)

Neue Webseiten bei Filoo online

Nach 5 Jahren der webmäßigen Dürre haben wir endlich die Webseiten der Filoo GmbH neu gelaunched. Jetzt auch mit richtigen Inhalten. Wir haben auch einen Twitter-Account für die Filoo GmbH angelegt, mit dem wir unsere Kunden und Freunde über Neuigkeiten bei Filoo auf dem Laufenden halten wollen.

Außerdem habe ich gestern mit der prima Software phpMyFAQ (ja, Thorsten - endlich nutze ich Deine Software mal produktiv, hoffentlich sind alle Securitybugs beseitigt ) eine FAQ für alle Produkte der Filoo GmbH aufgesetzt: Filoo-FAQ.

Die Inhalte sind natürlich noch nicht alle da, aber das wird sukzessive in den nächsten Wochen von unserem Team erledigt. Stay tuned.

eScience 2009 (Oxford, UK)

I’m currently at eScience 2009 in Oxford. I’ll present my paper on Friday and try to keep loose track of things via my twitter timeline. Follow me if you want, my paper’s abstract is below.

Design and Implementation of a Grid Proxy Auditing Infrastructure

Christopher Kunz, Christian Szongott, Jan Wiebelitz, Christian Grimm
Regional Computing Center for Lower Saxony
Gottfried Wilhelm Leibniz Universitaet
Hannover, Germany
{kunz,szongott,wiebelitz,grimm}@rvs.uni-hannover.de

Abstract

Single sign-on and delegation of rights are key requirements
for modern Grid infrastructures. These requirements
are usually facilitated by X.509 und Private-Key Infrastructures
(PKI) and proxy certificates. Proxy certificates, however,
can be obtained and abused by a malicious third party.
There is currently no method for end users to detect such
abuse.
We have designed a solution that enables a thorough auditing
of Grid proxy usage in Globus-based Grids and
implemented a service that accepts auditing information
via a web service interface and saves them to a back-end
database. We introduce modifications to the Grid Security
Infrastructure that allow sending audit trails from within
Globus components if the user desires to track credential usage.
A web-based front-end shows all logged information.
With our approach, expert users can now closely monitor
how their credentials are used after job submission. This
will help build trust in Grid infrastructures and delegated
authentication and authorization.

Aka-Aki Spiel angekündigt

Unser Hosting-Kunde aka-aki hat ein Spiel angekündigt. Location-based, social, “weather aware”, klingt auf jeden Fall hochspannend. Präsentiert wird das Ganze am 17.12. in Berlin.

iPhone von innen

Nachdem ich im x-ten Anlauf (QuickPwn tat nicht so ganz, was es sollte -> Restore) mein iPhone 3G mit einem Jailbreak auf blackra1n-Basis versehen habe, habe ich natürlich als erste Amtshandlung mal SSH aktiviert. Ich wollte dringend mal sehen, wie die “inner workings” des iPhone sind, das ja eigentlich nichts anderes sein soll als ein kleiner Mac. Und so sieht das “top” auf dem iPhone aus:

Videos abspielen kostet bei mir etwa 20% CPU-Zeit; der hautpsächliche limitierende Faktor ist allerdings der Arbeitsspeicher.

Außerdem gibts (wie ich an anderer Stelle schon gebloggt habe) auch schicke andere Sachen in Cydia. Schade nur, daß das nächste Iphone-OS-Update der Herrlichkeit ein Ende setzen wird.

Falschparker

Ich bin ja an sich kein Spießer, der sich über Falschparker aufregt, aber was bei uns vorm Rechenzentrum teilweise für Stunts abgeliefert werden, treibt jedem die Schamesröte ins Gesicht. Mein Kollege Michael hat das mal im Bild dokumentiert: Falschparker-Blog

Aber nicht mehr lange - bald kommt die Schranke zum Zug.

Web Security Day on WebTech/PHPC 2009

I will be moderator to the “WebSec Day” on the WebTech 2009 conference in Karlsruhe, Germany. The full-day workshop will consist of several, loosely thematically linked sessions regarding web security. See full entry for abstracts and speakers.

If you want to have a beer, I will only be in Karlsruhe on monday evening and tuesday during the day. You can follow me at twitter (@christopherkunz). I’m looking forward to seeing some of the PHP folks again during the few hours that I will spend in Karlsruhe.

Continue reading "Web Security Day on WebTech/PHPC 2009"

Saisonabschluß 2009: Grafenmarkt Diepholz

Auf dem 1. Diepholzer Grafenmarkt am Grafensonntag (18.10.2009) haben wir unseren Saisonabschluß mit dem letzten Lager der Saison begangen. Ich habe ein paar Bilder in meiner Galerie zum Grafensonntag online gestellt.

Die Nächte waren recht kalt, ansonsten war es echt eine tolle Veranstaltung - dank der Organisatoren (insb. Frank von den Thyefholtern gebührt Dank und Respekt für die gute Organisation) und der schönen Location, der Schloßinsel in Diepholz.

Einen Artikel gibt es in der Kreiszeitung, dort sind auch einige Bilder zu sehen. Ich bin der mit dem Topfhelm.