hacker safe or hacker unsafe, thats the question

As you might know, Cross-Site-Scripting (aka XSS) is a very evil thing, and can be used for several attacks, like phishing, DDoS, trojan/spyware/malware distribution and <insert evil thingie here>.
Today I've seen a link to http://www.costcentral.com, someone on the thinkpad-mailinglist has posted it. Just for fun I clicked and looked at the item (a ThinkPad USB keyboard). Nothing evil until yet, the link wasn't crafted and the item was okay, but then I discovered this nice "ScanAlert - Hacker Safe" logo (if you clicked the link and wonder why Firefox^WIceweasel does not show anything in the title: the guys forgot the <title>-tag ;-)). You might ask now: "Hacker Safe"? WTF!? (or maybe ROFL? I was like o_O).
A sentence from their about-page describes the situation:
"Tens of thousands of organizations from small non-profits to FORTUNE 500 multinationals rely on ScanAlert to protect, audit and certify the security of their networks and ecommerce infrastructure."

They do security? I do too... So let's test ;-)
A click on "hacker safe sites" gave me a list of sites. Uh, did I just read NetGear there? Didn't I have discovered some XSS in there sites a month ago? True, but the link goes to the shop of NetGear, which seems okay on the first view (didn't look another time, there was much more fun later).

So here we have six nice XSS links, two in the newsletter form, four in the search one. How people can still be so stupid?!

yankeecandle.com newsletter XSS
store.babycenter.com search XSS
guitarcenter.com newsletter XSS
fortunoff.com search XSS
bhphotovideo.com search XSS (this one was actually funny, the DID protect the data almost everywhere, but not inside one small javascript -> sucks)
search.pacsun.com search XSS

So what do we have? Six sites with XSS, discovered (instead of doing some university stuff) in about half an hour. And those sites should be hacker safe? Says a company doing its job since 2001? May I just give a loud laugh and go to bed with my girlfriend? Yeah maybe I should, but instead I whine about this poor security on the web of today. Is it InSecurity 2.0?

Guys, please read THIS article about web security at heise.de (sorry, it's in German) or just change the job!

Ein paar Tipps an Vodafone

Ich bin schon seit längerer Zeit Kunde bei Vodafone. Heute durfte ich deswegen direkt 2 Briefe von denen aus dem Briefkasten fischen.

Im ersten Brief schrieb mir die Sabine Wagner, pro Million Kunden würde Vodafone jährlich 1000 Bäume nur für die monatliche Rechnung verbrauchen und ich soll stattdessen die Online-Rechnung nutzen, die automatisch aktiviert wird, wenn ich nicht innerhalb von 6 Wochen so eine dolle Nummer anrufe.

Online-Rechnung ist ja schön und gut, aber ich habe dann doch lieber mein Papier. Kann man so schön ab heften.

Gut, dann machen wir mal den zweiten Umschlag auf. Hach, wer hätte das gedacht: die monatliche Rechnung plus der übliche News-Scheiß den keiner lesen will.
Die ganze Sendung besteht übrigens aus 2 DIN A4 Seiten Rechnung, einer DIN A4 Seite Werbung und dem Umschlag.

Und jetzt überlegen wir mal: die zusätzliche Info-Sendung bestand aus einem DIN A4 Blatt und einem Umschlag, macht also in etwa eine halbe Rechnungs-Sendung.
Wenn 12 Rechnungen pro Jahr, pro Million Kunden 1000 Bäume sind, dann ist eine Rechnung für eine Million Kunden ca 84 Bäume, eine Halbe ca 42 Bäume.
Heißt auf gut Deutsch: Vodafone hat gerade 42 Bäume gekillt, um einer Million Kunden mitzuteilen, wie sie im nächsten Jahr 1000 Bäume killen werden. Hätte man diesen Hinweis auf die Rechnung gedruckt, oder statt dem News-Zeug beigelegt, hätte man die 42 Bäume retten können!

Aber so was tut Vodafone ja nicht, es wäre nicht umweltfreundlich...

Free Linux Driver Development!

Wie golem.de berichtet, hat unser geliebter Greg K-H die Aktion Free Linux Driver Development! gestartet. Dabei geht es darum, dass die Kernel-Entwickler Treiber für Hardware schreiben, anstatt dass es die Hersteller tun, weil die eh nicht so ganz genau wissen, wie das geht.

Den englischen Originaltext kann man bei GMANE unter Free Linux Driver Development! nachlesen.
Ich zittiere:
"If you build it, we can get Linux drivers working for it.

Ich hoffe ATI/AMD springt auf diesen Zug auf, dann passiert sowas nicht so schnell wieder. träum

hdapsd_0.0.20061007- 1_i386.changes ACCEPTED

Gerade erreichte mich folgende E-Mail:

From: Debian Installer <installer@ftp-master.debian.org>
To: Evgeni Golov <sargentd@die-welt.net>
Subject: hdapsd_0.0.20061007-1_i386.changes ACCEPTED
Date: Sun, 28 Jan 2007 14:19:31 +0000
Sender: Joerg Jaspert <joerg@ries.debian.org>


Accepted:
hdapsd_0.0.20061007-1.diff.gz
to pool/main/h/hdapsd/hdapsd_0.0.20061007-1.diff.gz
hdapsd_0.0.20061007-1.dsc
to pool/main/h/hdapsd/hdapsd_0.0.20061007-1.dsc
hdapsd_0.0.20061007-1_i386.deb
to pool/main/h/hdapsd/hdapsd_0.0.20061007-1_i386.deb
hdapsd_0.0.20061007.orig.tar.gz
to pool/main/h/hdapsd/hdapsd_0.0.20061007.orig.tar.gz


Override entries for your package:
hdapsd_0.0.20061007-1.dsc - optional misc
hdapsd_0.0.20061007-1_i386.deb - optional misc

Announcing to debian-devel-changes@lists.debian.org
Closing bugs: 402908


Thank you for your contribution to Debian.


Damit wurde gerade mein erstes Paket offiziell in Debian aufgenommen.
Dank geht auch an Daniel Baumann, der so nett war mir den Upload zu sponsorn.
Mit diesem (und noch ein paar weiteren) Paket(en) hoffe ich die Unterstützung von ThinkPad-speifischer Hardware in Debian zu verbessern.

Chaos Communication Camp 2007

Das CCC Events Weblog schreibt:

The date and location for the Chaos Communication Camp 2007 is now confirmed. The event is starting August 8th lasting until August 12th 2007. That’s right, ladies and gentlemen: we are going for five days this time.

Auf gut Deutsch: 8-12 August gibts wieder massig interessantes Zeug in der Nähe von Berlin und sicherlich auch ein paar Hacks wenn die Jungs Netz kriegen (was stabiler ist als im BCC). Ich werde aber voraussichtlich nicht da sein, da ich paar Tage davor auf Wacken bin und danach nicht nach Berlin jetten möchte.

Weitere Infos gibts natürlich im CCC Blog.

Rant über Online-Shops

Ich habe mir vor ein paar Tagen das JVC KD-G722 online bei mp3-player.de bestellt. Da ich den Shop noch nicht kenne natürlich per Nachnahme, immerhin stolze 130€ das Gerät.

Kurz danach schon die erste XSS-Lücke im Shop gefunden ;-)
Natürlich bei der Suche und diesmal sogar mit SSL-Zertifikat von Equifax.
www.paketfabrik.de/mp3-player.de/ (Ja, das geht über paketfabrik.de, das ist wohl der Hoster/die Mutterfirme/teh Shice).

Da dachte ich mir: "Gut, dass du per Nachname bestellt hast ;-)".

Gestern Abend kam dann die Mail "Subject: mp3-player.de: Ihre Bestellung wurde versandt". Wonderbra, sollte also heute oder spätestens morgen kommen.
Ich also vor der Uni nochmal schnell zur Spaßkasse, Geld abheben, damit ich das auch schön in Bar da habe, wenn der Mann von DHL klingelt.
Er hat noch nicht geklingelt (es ist 18:40) aber es kam eine weitere tolle Mail:

From: info@mp3-player.de
To: sargentd@die-welt.net
Subject: Ihr Auftrag XXXX123456 bei mp3-player.de
Date: Wed, 24 Jan 2007 17:23:21 +0100

Sehr geehrter Herr Golov,

durch einen Systemfehler liegt dem an Sie verschickten Nachnahmepaket
leider kein Nachnahmeschein bei. Bitte _berweisen Sie statt dessen den
offenen Betrag wie folgt:
[...]

UPS?! Die haben doch nicht wirklich...? Doch haben die. Kein Nachnameschein... Bedeutet ich könnte das Gerät behalten und nicht bezahlen. Aber ich bin ja nicht so. Sobald das Gerät da ist, werd ich vielleicht mal hinmailen, und fragen wie viel das SSL-Zertifikat gekostet hat. Den Preis dürfen die dann von meiner Rechnung abziehen, und die Differenz zahle ich.

Schöne Scheiße das alles...

PS: Ja, die Mail war ISO-8859-1(5) kodiert ohne dass es im Header stand, aber das seh ich mittlerweile leider täglich und ignoriere es.

100.000

Kilometer, ja Hundert Tausend Kilometer, hat jetzt mein doller Astra G aufm Buckel. Vorhin auf der Fahrt aus Essen die 100 geknackt, schon schön ^^
Allerdings muss ich zugeben, ich hab davon nur paar Tausend gefahren, haben den Wagen ja gebraucht mit ca 96k gekauft. Seit August 06 4 Tausend ist aber auch nicht schlecht ;-)

Wer sich jetzt fragt, was hat er in Essen gemacht: Ich war mit meinem Schatz bei Paul Panzer, sehr sehr geil muss ich sagen. Und besonders als er nach der Pause durch das lachende Publikum so durcheinander gekommen ist, dass er den Text vergessen hat.

Wer die Möglichkeit hat - die knapp 25€ sind es wert!