Hm….
Habe gerade einen Newsletter von network computing gekriegt, bei dem ich nicht weiß, ob ich lachen, oder weinen soll.
Ich meine, ich verstehe ja, daß man in der heutigen Zeit schauen muß, wo man bleibt, aber es gibt gewisse Dinge, die ich nie machen könnte.
Inhalt des Newsletters, ganz reisserische Überschrift:
3 Stunden Live-Hacking
Jo, und kein geringerer als Sebastian Schreiber, Syss GmbH wird durch das illustre Programm geleiten.
Inhalt (vorsicht, Langeweile):
1. Angriffe auf virtuelle Maschinen
Wow, was ist der Unterschied zwischen einem virtualisierten Betriebssystem, und einem nicht virtualisierten?
Oder soll das die Geschichte des ger00teten Hypervisors sein?
Irgendwie nix Neues.
Okay, vielleicht das r00ten des Hypervisors, aber auch dazu gibt es schon genug Papers.
2. Angriffe auf Capchas
Gähn, wir erinnern uns noch an das massenhafte Knacken von Captchas via Strip-Trojaner?
Ihr wißt schon, das Sex-Programm, welches einem nach Eingabe des richtigen Captchas ein bissel mehr Haut zeigte, aber im Hintergrund die Ergebnisse anderweitig verwendete?
Oder geht es hier um OCR und Wahrscheinlichkeitsrechnung?
Auch eher old stuff.
3. Angriffe mit neuartigen USB-Trojanern
Uiuiuiui, Switchblade? Speziell präparierte U3-Sticks?
Jeder gute Admin weiß doch mittlerweile, daß so Parasiten am Einfachsten abgetötet werden, wenn man den Autorun abstellt, USB-Ports sperrt, etc.
Okay, also für nicht-versierte Admins interessant.
4. Phishing-Attacken der Zukunft: Angriffe auf Internet-Banking
Hmmm, ich weiß nicht, was ich von so Zukunfts-Orakelei halten soll.
Die Zukunft ist noch nicht geschrieben; daß dem so ist, sieht man, daß die CDU/CSU mehr als 10% der Wählerstimmen zur Europawahl erhalten hat, obwohl sie nachweislich der Demokratie schaden.
Oder geht es hier um iTAN und dessen Klone? Am Besten, Ihr lest Euch mal selbst ein…
5. WLAN – Hacken ohne Kabel
Boah, hier wird dann die Grenze des guten Geschmacks überschritten.
Mehr kann ich dazu nicht äußern, ohne ausfallend und persönlich zu werden.
6. Angriff auf trojanisiertes Nokia-Handy
OMG, dazu mußte halt das Handy erst mal trojanisieren, und mit aktueller Firmware/OS drauf kann sowas schon ein wenig schwer werden (es sei denn, der gute Herr Schreiber hätte ein 0day im Gepäck…?)
7. Google-Hacking
Kann man noch tiefer sinken?
8. XSS-Attacke
Naja, wird schwer werden, bei statischen HTML-Seiten ohne JavaScript.
Aber gut, zugegeben, in der heutigen Zeit gibt es noch einige Webmaster/Seitenbetreiber/Seitenbesitzer, denen das am A**** vorbeigeht.
9. Sniffing trotz Switch
Wie alt ist ARP-Spoofing jetzt schon?
10. Hardwarespion
Meine Fresse, wenn jemand schon an die Hardware kommt, ist es doch sowieso schon zu spät, oder?
Gut, einem Client einen Hardware-Keylogger unterzujubeln, seh‘ ich ja noch ein; Fenster manipulieren, um das gesprochene Wort aufzuzeichnen, oder aus der Ferne mit einem Richtmikrofon, alles schön und gut.
Aber was noch? Industriespionage zu bekämpfen wird nur wenige kleine und mittelständische Betriebe betreffen, und die großen haben für so etwas schon eine eigene Abteilung…
11. Angriffe auf Web-Applikationen / Webshops
Ganz großes Kino.
Alleine zu dem Thema wird dann sicherlich wieder der Shop gezeigt, der die Bestelldaten mittels POST empfängt, aber die Produktpreise nicht aus der Datenbank holt, sondern besagterweise aus der POST-Variable.
Gibt aber nur noch wenig Shops, die sowas machen.
(der Webmaster, der sowas noch einsetzt, hat es dann auch nicht anders verdient)
Angriffe auf Webapplikationen, im großen und Ganzen DAS Thema, das sich bis in alle Ewigkeiten ausschlachten lassen wird.
Mein Fazit:
NEIN, ich werde da nicht hingehen, um mir so eine Pipi-Veranstaltung nochmal anzusehen.
Jawohl, ich habe das schon einmal gesehen, das war in Frankfurt, als ich von einer Firma eingeladen wurde, deren modifizierte Nagios-Lösung zu begutachten.
(boah, fragt nicht, was den anderen Standbesuchern erzählt wurde, was hinter der „Monitoring-Appliance“ steckt…)
Da war dann noch so eine lustige Firma vertreten, die mittels Asterisk und CallerID Leute aus dem Publikum verarscht haben.
Auch ganz großes Kino. Ich war so begeistert davon…
Lieber Herr Schreiber, klar kann ich es nachvollziehen, daß Sie Business as usual machen.
In der heutigen Zeit lebt man nicht von Idealismus allein, auch die Wurst auf dem Brot muß bezahlt werden.
Dann sehen Sie es mir aber mit Sicherheit nach, daß so ein Vortrag nicht vom Hocker haut, weil es einfach nur alter Wein in neuen Schläuchen ist.
Und Ihr hacktro, welches Sie damals auf Ihrer Seite angeboten hatten (tcp:195.245.13.19:31337), ja, das kenne ich auch noch.
Geschmackssache, für mich ein klein wenig zu seicht.
Klar, in der Sicherheitsbranche kochen alle nur mit Wasser 😉