31. Dezember 2006

Einführung in IceSword - Setting


Beschreibung
Der Setting-Dialog aus dem File-Menü hat in der Version 1.20 vier Optionen:

Donot display 'Deleting' process - Bestimmte Arten von "halboffenen" Prozessen mit dem Status "Deleting" werden nicht angezeigt (ist standardmäßig aktiviert). Wenn man den Haken entfernt, werden "Deleting"-Prozesse in rot angezeigt (wenn welche da sind).

Keep on top - Das IceSword-Fenster bleibt immer im Vordergrund.

Forbid all process/thread creating - Solange die Option aktiviert ist, kann kein Programm irgendwelche neuen Prozesse oder Threads erzeugen. Kann nützlich sein wenn man eine Malware hat, die aus mehreren Teilen besteht die sich gegenseitig neu starten. Siehe auch Create Process Rule / Thread Rule.

Disable coperator - "Cooperator" abschalten. Der Cooperator ist eine Schnittstelle, die andere Programme benutzen können um auf IceSword zuzugreifen. Der Cooperator wird benutzt von IceSword Helper (siehe Einleitung).


30. Dezember 2006

Zeitlimit für den Computer

Aus aktuellem Anlass habe ich ein neues Programm in mein spektakuläres vier-Seiten-Wiki eingestellt: Uptime_limit.bat ist eine kleine Batchdatei, die eine Zeitbegrenzung für die Rechnernutzung implementiert.

Damit kann man einen Windows-Rechner nach X Minuten Laufzeit am Tag automatisch herunterfahren.

Tip: Wer die Internetnutzung begrenzen will, sollte sich einen geeigneten Router holen. Viele Consumer-Router haben bereits eine Art "Kindersicherung" eingebaut. Die billigen Router sind nicht immer besonders sicher, aber fast alle sind um Größenordnungen besser als schrottige "Kindersicherungen" für Windows. Einen gesicherten (!) Router kann man auch nicht durch Booten von einer Linux-CD beeindrucken.

Tip2: Netgear meiden.


Links

Sein Erfolgsgeheimnis


Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden


Links

Gestohlene Kreditkartennummern

Wer Angst hat seine Kreditkartennummer könnte bereits gestohlen worden sein, für den gibt es jetzt einen Prüfdienst. Man muss nur seine Kreditkartennummer eingeben...




Via geschonneck.com


Links

  • 31337h4x0r (Formular) Tip: Irgendwas eingeben ins Formular und das Ergebniss bewundern.

29. Dezember 2006

Einführung in IceSword - Create Process Rule / Thread Rule


Beschreibung
Die beiden Funktionen Create Process Rule und Create Thread Rule gehören zu den besseren Funktionen von IceSword. Sie verstecken sich im File-Menü.

Wie der Name vermuten lässt, arbeitet die eine Funktion mit Prozessen, die andere mit Threads. Da sie sich ansonsten nicht wesentlich unterscheiden, wird hier nur die erste beschrieben.

Die Funktionen ermöglichen es nach Art einer Firewall Regeln für die Erzeugung von Prozessen und Threads zu bestimmen. Damit kann man zum Beispiel verbieten, dass das Programm x.exe gestartet wird, außer von PID 437.


Funktionen
Mit "Add Rule" kann man neue Regeln hinzufügen. View und Delete sind wohl selbsterklärend.

Die Nummerierung der Regeln ist allerdings etwas verwirrend.

Die Nummerierung (Count) fängt immer bei 0 an - auch wenn Regel 0 noch gar nicht existiert. Wenn "Count" also 2 anzeigt, gibt es die Regeln 0 und 1. Wenn Count 0 anzeigt gibt es keine Regeln - auch wenn Regel 0 angezeigt wird. Die Regel 0 gibt es erst, wenn Count 1 anzeigt.

Wenn man eine existierende Nummer einträgt und auf "Add Rule" klickt, wird die alte nicht gelöscht sondern um eins "nach oben" verschoben. Wenn man also die Regeln 0, 1 und 2 hat und eine neue Regel 2 hinzufügt, wird die alte Regel 2 zu Regel 3.

Regel Nummer 0 ist voreingestellt. Neue Regeln werden also standardmäßig vor den existierenden Regeln eingefügt. Wenn man eine neue Regel am Ende haben will, muss man den Wert aus "Count" eintragen bevor man auf "Add Rule" klickt.

Achtung
Der bis zum nächsten Reboot geladene Treiber von IceSword erinnert sich an die Regeln, auch wenn man das Programm IceSword beendet.

Um die Regeln ohne Reboot loszuwerden, muss man sie tatsächlich mit "Delete Rule" löschen.

Regeln werden immer von 0 an verarbeitet. Wenn die Regel 0 den Start eines Programms erlaubt, hat die Regel 1 keinen Einfluss mehr darauf.



Hier im Beispiel wird eine neue Regel erzeugt, die dem Prozess mit der PID 768 verbietet irgendwelche neuen Prozesse zu erzeugen.

Man kann auswählen ob die neue Regel etwas erlauben (Permit) oder verbieten (Forbid) soll.

Unter "PathName" kann man Beispielsweise C:\Windows\system32\cmd.exe eintragen. Dann kann kein Programm mehr dieses Programm starten (wenn "Forbid" ausgewählt ist). Für "FileName" gilt das gleiche, nur ohne Pfad. Man würde in diesem Fall nur cmd.exe eingeben.

"Source Process" ist der neue Prozess.

"Parent Process" ist der Prozess, der den neuen Prozess erzeugt.

"Range" bedeutet, dass Prozesse mit der PID von ... bis betroffen sind. Wenn man nur auf eine PID filtern will, gibt man wie im Beispiel in beide Felder den gleichen Wert ein.


Foto des Jahres 2006

Wie ich erst jetzt erfahre, veranstaltet unsere geliebte Bundesregierung einen großartigen Wettbewerb.

Alle Bürger sind aufgerufen, das Foto des Jahres 2006 zu wählen.

Leider sind die Motive etwas monothematisch: Auf allen 12 Fotos ist der Teufel Angela Merkel.

Höhepunkt des Wettbewerbs: Als Gewinn wird an drei der Teilnehmenden ein prächtiger Bildband mit Bildern von dem Teufel Angela Merkel und anderen Politikern gehen. Bezahlt wird das ganze natürlich von Angela Merkel dem Steuerzahler.


Links

Der mit spermaklebrigen Händen sucht

Ich habe lange nicht mehr so gelacht wie bei der (an sich traurigen) Google-Suchbegriffe-Analyse dieses frustrierten Bloggers:

Und häng nicht mehr wie ein sabbernder idjot vor deinem brauser, wenn du mit zittrigen, spermaklebrigen händen begriffe wie »wichs methoden«, »ehefrau ficken«, »fickende elefanten«, »verdorbene frauen«, »ficken mit obst«, »fickende hamster«, »maschinen ficken«, »beim ficken pissen«, »bilder vom wichsen«, »gummistiefel ficken«, »wie baue ich einen dildo«, »ficken auf der straße«, »ficken im schlamm«, »ficken in erlangen«, »ficken mit elefanten«, »wichsen blog«, »affen ficken frauen«, »alien ficken«, »babystrich hannover«, »billig poppen«, »ficken im dreck«, »fickgedicht«, »hunde ficken weiber«, »im internet wichsen«, »kinder wichsen«, »porno-geschichten«, »sexy frauen adventskalender«, »sklaven wichsen« oder »spermaspritzer« in das guhgell-suchfeld eingibst. Du denkst ja nur an das »wichsen vor dem computer«, du hirnloses gesäuge du.
[...]
Ja, das sind harte worte, ich weiß das. Aber ich habe mir jetzt zwei jahre lang angeschaut, was die wirklichen interessen der meisten internetznutzer zu sein scheinen. Lachen konnte ich darüber schon lange nicht mehr.
[...]
Mein tema war die ganze zeit nur der gegenwärtige gesellschaftliche zerfall aus meiner eigenen sicht;

Der arme Mann schreibt über ernsthafte Themen, und die Leute kommen von Google auf der Suche nach "babystrich hannover". Gar schmerzhaft ist die Realität.

Wer den Artikel noch lesen will, muss sich beeilen: Aus Protest gegen die GEZ-Gebühren für Computer will Schwerdtfeger seinen Blog am 1.1.2007 abschalten (als ob es die GEZ interessiert).


Links

28. Dezember 2006

Analyse Windows Vista Content Protection

Peter Gutmann aus Neuseeland hat eine leicht verstörende Analyse des "Content Protection" Systems von Windows Vista veröffentlicht. Das System soll DRM-geschützte Inhalte vor "Diebstahl" schützen.

Executive Summary

Windows Vista includes an extensive reworking of core OS elements in order to provide content protection for so-called "premium content", typically HD data from Blu-Ray and HD-DVD sources. Providing this protection incurs considerable costs in terms of system performance, system stability, technical support overhead, and hardware and software cost. These issues affect not only users of Vista but the entire PC industry, since the effects of the protection measures extend to cover all hardware and software that will ever come into contact with Vista, even if it's not used directly with Vista.

Die Details sind wirklich gruselig. Das System macht Windows teurer, langsamer und instabiler. Und das ist erst der Anfang! Selbst wenn man kein Windows benutzt, die Hardware-Hersteller werden ihre Kosten auf alle abwälzen, wie ungenannte Quellen vom Grafikkartenhersteller ATI im Dokument immer wieder sagen.

Warnung: Das Dokument kann einem echt den Tag versauen.


A Cost Analysis of Windows Vista Content Protection (Textdatei). Peter Gutmann

Wenn Architekten so ihre Häuser bauen würden...

Guter Artikel bei Glorf IT: Thomas Glörfeld berichtet von dümmlichen Kunden, für die "Datensicherung" ein Fremdwort ist.

Gestern erlebten wir leider wieder einen von den Fällen in denen eine völlig defekte Datenbank eines Kunden an uns geschickt wurde, damit wir sie analysieren und retten was zu retten ist. Genau der Kunde hatte aber schon mal Datenbanken an uns geschickt. Mit nur geringen Datenverlusten konnten damals wieder konsistente Datenbestände restauriert werden. Seinerzeit wurde ihm mitgeteilt, dass seine Hardware ein Problem hat und sein EDV-Händler/-Betreuer das untersuchen und lösen soll, vermutlich ein Problem mit Festplatte und/oder Raid-Controller. Das passierte aber nicht…

Ja, wir haben alle unsere Fehler. Aber um Backups zu machen, braucht man weder Intelligenz noch viel Geld. Eine USB-Festplatte aus dem Computerladen um die Ecke und einmal die Woche ein paar Dateien kopieren. Kaum ein Problem lässt sich so billig aus der Welt schaffen wie "Datenverlust".

Das erinnert mich daran, dass ich noch mal was zu Backups schreiben muss...


Unrealistische Erwartungen. Glorf IT

27. Dezember 2006

AmigaOS 4: Rebellen ohne Hardware

Die Computerspielefirma Hyperion Entertainment hat zu Weihnachten das "Final Update" des schon 2002 angekündigten Betriebssystems AmigaOS 4.0 angekündigt veröffentlicht. Vermutlich wollen sie uns damit sagen, dass das System jetzt "fertig" ist.


Dummerweise gibt es die benötigten PowerPC-Computer nicht mehr oder noch nicht zu kaufen. Die einzige Hardware auf der das Betriebssystem läuft - AmigaOne - gibt es schon lange nicht mehr zu kaufen. Neue Computer sollen erst nächstes Jahr "angekündigt" werden (und sind dann vermutlich 2011 käuflich).

Bis jetzt können nur Besitzer eines AmigaOne ein ISO des neuen Betriebssystems herunterladen.


Möglicherweise haben sie gar nicht vor, das System an Endkunden zu verkaufen. Die Werbung auf der Website des Herstellers richtet sich nur an Altkunden und OEMs.

"Neue" Funktionen von AmigaOS 4 wie die Unterstützung des Mausrads, 32-Bit Farbtiefe für Icons, Dateinamen mit mehr als 30 Zeichen und USB-Tastaturen wecken wirklich die Erinnerung an die gute alte Zeit...


AmigaOS kann sich immerhin rühmen, länger als Ataris TOS gelebt zu haben.


Links

Windows-Bildschirmschoner auf dem Desktop laufen lassen (oder sonstwo)

Der Trick ist schon alt, aber gut: Alle Bildschirmschoner von Windows kann man mit dem Kommandozeilen-Parameter /p auf ein beliebiges Fenster (oder die Arbeitsoberfläche) projizieren.

Sollte funktionieren mit Windows 2000, XP, 2003 und Vista.


Vorgehensweise

Winspector installieren und starten.


Ein Handle aus der Liste links oben raussuchen oder per "Click and Drag" auswählen. Dazu auf das rote Fadenkreuz klicken, festhalten und auf das gewünschte Fenster ziehen. Führende Nullen kann man ignorieren. Wenn man den Bildschirmschoner als Desktop-Hintergrund haben will, einfach per Click and Drag auf eine freie Stelle auf der Arbeitsoberfläche zielen.

In diesem Beispiel nehmen wir den bereits gestarteten Windows-Rechner mit dem Handle 50096. Winspector zeigt die Handles in hexadezimaler Schreibweise an. Da wir sie in dezimaler Schreibweise brauchen, benutzen wir den Rechner um es umzurechnen.

Rechner starten. Start->Ausführen->calc

Im Menü des Rechners Ansicht->Wissenschaftlich auswählen.
Bei den Radio-Buttons unter der Anzeige "Hex" auswähnen und "50096" eingeben.
"Dez" auswähnen. In diesem Beispiel wird 327830 angezeigt. Mit Strg-C in die Zwischenablage kopieren.

Kommandozeile öffnen. Start->Ausführen->cmd

cd %SystemRoot%\system32
dir *.scr <-- Alle installierten Bildschirmschoner werden angezeigt
ssmyst.scr /p 327830 <-- Umgewandeltes Handle angeben



Bildschirmschoner beenden: Mit dem Windows Task-Manager den SCR-Prozess killen.


Links

25. Dezember 2006

Die Erblast


Gemacht mit Witty Comics.

23. Dezember 2006

Der neue Heiland ist geboren

Befehle mir, Meister.

Im englischen Zoo von Chester steht zu Weihnachten eine Geburt nach unbefleckter Empfängnis an - bei den riesigen Komodo-Waranen aus Indonesien. Wie britische Tierforscher im Wissenschaftsblatt "Nature" berichten, dürfte das Waran-Weibchen Flora zum Wiegenfest von Jesus Christus, spätestens aber im Januar bis zu acht kleine Drachenechsen ausbrüten, die eine wichtige Besonderheit ausweisen: Bei ihnen sind Vater und Mutter eins. Flora war noch niemals einem männlichen Waran begegnet und befruchtete sich selbst. Dies belegten Gentests an drei nicht geschlüpften Eiern.


Deine Zeit ist abgelaufen. Lang lebe unser neuer Drachengott!


Unbefleckte Empfängnis gibt es wirklich - bei Komodo-Waranen. Yahoo

21. Dezember 2006

Einführung in IceSword - Registry


Beschreibung
Die Registry. Um keinen anderen Teil von Windows ranken sich so viele Mythen, Halbwahrheiten und Falschinformationen.

Hinweis: Dieser Artikel erklärt nicht
  • was die Registry ist
  • das Layout der Registry
  • den Zweck der einzelnen Schlüssel
Dafür gibt es bereits eine Milliarde Webseiten und Bücher.

Kurze Terminologie
  • Schlüssel (Key) - Die "Ordner" der Registry. In dem Screenshot "Administratoren".
  • Werte (Value) - Die einzelnene Datensätze. Im Beispiel wird nur ein Default-Wert angezeigt. Jeder Wert hat einen bestimmten Datenyp.
  • Hive - Die Dateien auf der Festplatte, in denen die Registry gespeichert ist. Bei Windows XP sind die Hives unter \Windows\system32\config. Die .log Dateien gehören auch dazu. Daneben gibt es in jedem Benutzerverzeichniss einen Hive. Wenn der Benutzer sich anmeldet, wird der Hive als HKCU (HKEY Current-User) geladen.

Hinweis: Manchmal (oft) schreibe ich "Schlüssel" wenn ich eigentlich "Wert" meine. Muss meine eigenen Artikel irgendwann noch mal nach Fehlern durchsehen...

Der Registry-Editor von IceSword ist eigentlich nicht besonders toll. Der Registry-Editor funktioniert ähnlich wie regedit.exe. Im Gegensatz zu dem Standardprogramm von Windows sieht IceSword allerdings auch versteckte Schlüssel. Mit einem Doppelklick kann man einen Wert bearbeiten, mit einem Rechtsklick kommt ein Menü mit dem einzigen Punkt "Delete". Mehr Funktionen gibt es eigentlich nicht.

Im Zusammenhang mit der Registry ist auch der eingebaute Datei-Explorer nützlich. Damit kann man die Hives kopieren (geht mit dem normalen Explorer nicht). Die Kopie kann man dann beispielweise mit MiTeC Windows Registry Recovery laden.


Auf was man achten sollte
Da der Registry-Teil von IceSword keine automatische Suche hat, findet man nur dann versteckte Schlüssel, wenn man schon weiss wo sie sind.

Seit der Version 1.20 gibt es bei IceSword das FileReg-Plugin. Damit kann man (unter anderem) die Registry automatisch nach versteckten Schlüsseln durchsuchen. Das Plugin hat eine ausführliche Englische Anleitung.


Was IceSword nicht findet
IceSword 1.20 kann mit Registry-Schlüsseln mit eingebetteten Null-Bytes nichts anfangen. Die Schlüssel werden angezeigt, aber ein "Open error!" verhindert jeden Zugriff (siehe Bild). Unterschlüssel und Werte werden nicht angezeigt.


Für jeden Registry-Schlüssel speichert Windows Datum und Uhrzeit des letzten Schreibzugriffes. Weder IceSword noch regedit.exe können diese Informationen anzeigen.

Vermutlich kann IceSword 1.20 die vom Rustock.B-Rootkit versteckten Schlüssel nicht sehen (muss ich noch mal ausprobieren).


Andere Werkzeuge
DarkSpy. Die neue Version 1.0.5 hat einen ganz hervorragenden Registry-Editor. Findet versteckte Schlüssel in einem laufenden System und kann Hives öffnen und bearbeiten. Kann Schlüssel mit eingebetteten Null-Bytes verarbeiten. So gut, wie die GUI grausam ist. Einschränkung: Kann keine Schlüssel bearbeiten, nur Werte.

MiTeC Windows Registry Recovery. Geniales Programm um Registry Hives zu analysieren. Zeigt Datum des letzten Schreibzugriffes an. Schlüssel mit eingebetteten Null-Bytes sind unsichtbar für das Programm! Der Russinovich-Artikel (siehe unten) erklärt, was Hives überhaupt sind.

Aezay Registry Commander. Registry-Editor ähnlich wie regedit.exe, aber mit ein paar nützlichen Extras. Zeigt Datum des letzten Schreibzugriffes an. Alt aber gut.

NirSoft RegScanner. Durchsucht die Registry. Mit vielen nützlichen Optionen.

Rootkit Revealer. Das Programm von Microsoft / Sysinternals ist lahm aber gründlich. Die gesamte Registry - und das Dateisystem - werden automatisch nach versteckten Schlüsseln durchsucht. Schlüssel werden aber nur angezeigt, können nicht bearbeitet werden. Eingebettete Null-Bytes werden mit einem Warnhinweis angezeigt.

RegDelNull. Kleines Kommandozeilen-Programm von Microsoft. Kann Schlüssel mit eingebetteten Null-Bytes auflisten und löschen.

Process Monitor. Neues Programm von Microsoft. Zeigt (unter anderem) Zugriffe auf die Registry in Echtzeit an.


Informationen
Inside the Registry. Sehr kenntnissreicher Artikel von Mark Russinovich.

The beginning of the end for the system Registry. Registry soll abgeschaft werden? Weiss nicht ob das stimmt.


Die kleinen Vergnügen

Bei dem Werbemüll im Briefkasten ist oft so ein Antwort-Umschlag dabei. Da soll man dann das ausgefüllte Gewinnspiel reintun oder was auch immer. Es steht üblicherweise "Bitte frankieren" auf dem Feld für die Briefmarke.

Was viele nicht wissen: Wenn "Antwort" über der Adresse des Empfängers steht, bezahlt der die Briefmarke - sofern man selbst keine draufmacht.

Ich fülle in diese Antwort-Umschläge immer etwas Müll und werfe sie irre kichernd in den Briefkasten.

Merken: Ich brauche eine Augenklappe.

20. Dezember 2006

Rootkit Unhooker 3.0 RC 4 erschienen

EP_X0FF, MP_ART und DNY präsentieren uns kurz vor dem Fest des Materialismus der Liebe eine neue, verbesserte Version der Anti-Rootkit Software Rootkit Unhooker:

version 3.00 build 88/344 RC4 (20.12.2006)
improved: overall speed of all scanning engines
fixed: some bugs in ILHA hooks detection engine
further internal optimisation
VM detection moved as separate function in "Tools" menu
updated: program help file


Links

19. Dezember 2006

Scheisse die peinlichen Bilder müssen weg



Der allwissende New Scientist warnt uns gerade noch rechtzeitig vor dem neuesten Übel der Moderne:

A search engine that uses sophisticated facial recognition to allow users to identify and find people in online images will launch next month. But civil liberties groups say the biometric-style tool could compromise the privacy of anyone who has their picture online.

Search engine Polar Rose reconstructs the 3D shape of a person's face and then combines that with characteristics of their features to generate a unique "face print". This can then be used to search other photos for a match.

Also auf Deutsch: Ab nächstem Monat gibt es eine Internet-Suchmaschine die mittels Gesichtserkennung (!) nach Bildern von bestimmten Personen suchen kann.

Ein Browser-Plugin für Firefox und Internet Explorer markiert jeden den es erkennt mit einem "Polar Rose" Sternchen. Wenn man darauf klickt, sagt einem Polar Rose den Namen der Person und andere Informationen (siehe Bild).

Arghhh... das gibt ein schlimmes Erwachen für Leute, die ihre Partyfotos "anonym" hochgeladen haben.

P.S.: Bin ich der einzige, der findet dass die Dinger aussehen wie Judensterne?


Links

18. Dezember 2006

Gericht erteilt Focus Lizenz zum Spammen

Aus unserer beliebten Reihe "Die intelligentesten Richter in Deutschland":

Journalisten dürfen E-Mails für ihre Recherche-Anfragen versenden, so ein Urteil des Münchener Landgerichts I. Die Wirtschaftsredaktion Focus-Money hatte an über 9.000 Steuerberatungskanzleien eine Befragungs-E-Mail gesandt und fing sich dafür von einer Kanzlei eine Unterlassungsklage ein.

Die Steuerberatungskanzleien wurden per E-Mail befragt, um anhand der - bereits veröffentlichten - Umfrageergebnisse Spezialisten regional geordnet den eigenen Lesern vorstellen zu können. Das Gericht urteilte laut Focus-Money, dass "eine vorzunehmende Interessenabwägung ergibt, dass das Interesse der Beklagten an der Zusendung der streitigen E-Mail überwiegt."

Sehr gut, ich werde dann demnächst E-Mails an 9000 Landgerichte schicken, um sie für diesen Blog zu befragen ob sie Penisverlängerungen kaufen wollen. Und Psycho-Pillen.

Würde man in der Zusendung jeder Umfrage- oder überhaupt jeder E-Mail einer Redaktion einen rechtswidrigen Eingriff im Sinne des §823/BGB sehen, wäre der Presse die Informationsbeschaffungsmöglichkeit über das Internet fast völlig verwehrt.

Jetzt wissen wir auch, wie der Focus sich seine "Informationen" beschafft. Hmm... Spam, herrlicher Spam.


Gericht: Journalistische Recherche-E-Mails kein Spam. Golem

Wenn der Dummenfänger zwei mal klingelt

Vorhin kam ein Hausierer "von der Telekom". Er wollte mich informieren über die "neuen Tarife" und kontrollieren ob ich schon davon "profitiere". Dafür muss er selbstverständlich meine Telefonrechnung sehen.

Äh Moment mal - was für ne Verarsche ist das? Wieso sollte die Telekom Hausierer losschicken um ihre eigenen Rechnungen anzusehen?

Wie die meisten Betrüger war er sehr ungeduldig und verschwand ohne mir zu erklären was er eigentlich will.

Darum kann ich nur raten.

  • Arcor-Drücker
  • Zeitschriften-Drücker
  • Trickbetrüger
  • Serienkiller
  • GEZ

P.S.: Nur mit den Daten auf der Telefonrechnung kann man bei Yellex ohne weitere Überprüfung und ohne Benachrichtigung des Anschlussinhabers einen Einzelverbindungsnachweis für Internet-Verbindungen bekommen.


Links

GMER Download

Da der gmer.net-Server seit Tagen vom Netz ist (vermutlich DDoS), habe ich mal die aktuellste Version GMER 1.0.12.12011 bei SpeedyShare hochgeladen.

Update 2. Feb: Die GMER-Homepage geht jetzt wieder.


Links

15. Dezember 2006

Goldun / CsdDriver.sys / MemMan.dll entfernen

Ich habe mir mal eine neuere Variante des Goldun-Trojaners angesehen.

Laut Sophos ist es ein besonders häßlicher Spyware-Trojaner mit Rootkit-Funktion.

  • Stiehlt Kreditkarten-Daten
  • Schaltet Antiviren-Anwendungen aus
  • Stiehlt Daten
  • Lädt Code aus dem Internet herunter
  • ...

Der Goldun-Installer kommt daher als eine nur 44 Kilobyte große Exe-Datei.

Alias-Namen: TR/Spy.Goldun.NP.24, PSW.Generic2.RZO, PSW.Generic2.TOC, Trojan.Spy.Goldun.BP, PWS-Banker.k.gen, Trojan.PWS.GoldSpy, Trojan-Spy.Win32.Goldun.np und andere.

Erschreckenderweise erkennen von den bei Virustotal verfügbaren Scannern unter anderem Avast, F-Prot, McAfee, Microsoft, NOD32 und Sophos (!) diese Variante nicht.

Sobald der Goldun-Installer ausgeführt wird, werden die folgenden Dateien erstellt:

C:\WINDOWS\system32\CsdDriver.sys (4 KB)
C:\WINDOWS\system32\MemMan.dll (76 KB)

CsdDriver.sys ist ein normaler, nicht getarnter Treiber. Sobald er geladen ist, tarnt er die Datei MemMan.dll und ihre Registry-Schlüssel. Dabei wird jede Datei mit diesem Namen in jedem Verzeichniss getarnt. Dazu werden SSDT-Hooks benutzt.

MemMan.dll wird in explorer.exe geladen. Keine DLL-Injection, sondern Autostart mit einem obskuren Registry-Schlüssel. Die DLL ist versteckt und wird von "normalen" Programmen wie Process Explorer nicht angezeigt. Von IceSword werden die Datei und die geladene DLL angezeigt (Process->Rechte Maustaste auf explorer.exe->Module Information).


Der Hidden Files Detector von Rootkit Unhooker (unten) findet die versteckte DLL auf der Festplatte (Rechtsklick um die Datei zu löschen).


Goldun installiert einige Inline Hooks, offenbar um HTTP-Verbindungen abzuhören und Passwörter zu klauen.




Entfernen
IceSword 1.20 kann die zwei Dateien mit "force delete" im File-Explorer entsorgen. Um sie sauber zu entfernen, sollte man noch die Autostarts löschen (s.u.). Aber da der Treiber den Registry-Schlüssel versteckt, muss man nach dem Löschen der Dateien das System neu starten um den Treiber zu entladen.

Alternative: Rootkit Unhooker, im SSDT-Tab die drei Einträge, die auf CsdDriver.sys zeigen, markieren (Strg-Klick) und auf UnHook Selected klicken. Dann wird der versteckte Eintrag bei Autoruns sichtbar (ohne Reboot).


Autoruns aufrufen. Im Menü Options->Verify Code Signatures, Options->Hide Microsoft Entries und File->Refresh (F5) auswählen. Die Einträge von MemMan und CsdDriver löschen.

Rebooten um den Treiber zu entladen.

Dateien können jetzt normal gelöscht werden. Mit IceSword oder RKUnhooker noch mal nachsehen ob wirklich alles weg ist.

Troj/Goldun-EH stiehlt Daten von infizierten Computern und überwacht die Verwendung des Browsers, um Zugangsdaten für Online Zahlungssysteme zu stehlen.

Überflüssig zu erwähnen, dass weder IceSword noch RKUnhooker gestohlene Zugangsdaten zurückholen können.


Der Name "Goldun" kommt vermutlich daher, dass der Trojaner versucht Passwörter von E-Gold zu stehlen.

Der Treiber und die DLL enthalten den mysteriösen Text C:\3erinaged, der laut einem Posting in einem russischen Forum "renigade3" bedeuten soll.


Links

14. Dezember 2006

Baiji ist ausgestorben


Sechs Wochen suchten Umweltschützer im chinesischen Jangtse - doch sie konnten kein einziges Exemplar der Art Lipotes vexillifer mehr finden.
[..]
Der chinesische Flussdelfin Baiji ist nach Überzeugung eines internationalen Forscherteams „mit aller Wahrscheinlichkeit“ ausgestorben.

Requiem aeternam dona eis, Domine.


Links

13. Dezember 2006

Systemdateischutz überlisten mit Hard Links

Hard Links sind eine selten benutzte Eigenschaft des NTFS-Dateisystems. Normalerweise hat eine Datei genau einen Namen. Dabei zeigt ein Verzeichnisseintrag auf eine Datei. Es können aber auch mehrere Verzeichnisseinträge auf die selbe Datei zeigen. Das bezeichnet man als Hard Link.

Windows kennt standardmäßig keine Befehle um Hard Links zu erzeugen oder zu verwalten. Offensichtlich ist diese Fähigkeit nur für das POSIX-Subsystem gedacht. Windows Services for Unix (SFU) bringt entsprechende Dienstprogramme mit, ist aber etwas unhandlich wenn man nur Hard Links erzeugen will.

Es existieren mehrere Windows-Portierungen von ln. Das Programm ln gehört eigentlich zu Unix, wo Hard Links häufiger genutzt werden.

Mit dem Programm Hlscan.exe von Microsoft kann man sich vorhandene Hard Links anzeigen lassen.


Hard Links kann man für viele Dinge benutzen, unter anderem um den Systemdateischutz von Windows zu überlisten. Wenn man Systemprogramme verändert oder löscht, werden sie vom Systemdateischutz normalerweise schnell wieder hergestellt. Der Schutz ist allerdings auf den Original-Dateinamen fixiert. Wenn man mit einem Hard Link einen zweiten Dateinamen für eine geschützte Datei erzeugt, kann man diesen benutzen um die Datei unbemerkt zu überschreiben.


System: Windows XP Pro SP2 (sollte mit jeder Version von Windows NT funktionieren).

Beispiel: Die geschützte Systemdatei charmap.exe mit new.exe überschreiben (in der Kommandozeile).

ln \windows\system32\charmap.exe tmp
copy new.exe tmp
del tmp

[Reboot]

Wenn man den Reboot weglässt, wird die Exe-Datei nach der ersten Ausführung vom Dateischutz wiederhergestellt?

Update: Seit Windows XP gibt es den neuen fsutil Befehl. War die ganze Zeit auf der Festplatte, habe ihn aber nie bemerkt. fsutil hardlink create tmp c:\windows\system32\charmap.exe sollte das gleiche machen wie der ln-Befehl oben. Komischerweise funktioniert fsutil nur wenn man als Admin angemeldet ist.


Links

11. Dezember 2006

Rootkit Unhooker 3.0 RC 3 ist da

Der (laut den Entwicklern) "kleinste Rootkit-Detektor der Welt" ist in einer neuen Version erschienen. Aufgrund des neuen Installationsprogramms ist RKUnhooker mit 168 Kilobyte zumindest kleiner als die Vorgängerversionen.

Neben einigen Fehlerkorrekturen gibt es jetzt einen neuen Menüpunkt "Check for Updates". An der Erkennungsleistung scheint sich seit der letzten Version nichts geändert zu haben (macht aber nix, denn die ist immer noch 1a).

version 3.00 build 86/338 RC3 (10.12.2006)
added: detection of software virtual machines
added: update checking module (could be buggy now)
improved: force-kill
improved: wipe file functions for NTFS
improved: reduced count of false positives while NTFS scan
improved: switched setup system to NSIS (smaller and faster)
xdf updated to bypass SSM malware-like behaviour
fixed: problems with HaxDoor detection/removal
fixed: bugs with ADS parsing


Links

10. Dezember 2006

Aus dem Firefox-Gruselkabinett

Der stets übellaunige Fefe hat mit seinem selbstgebastelten Malloc-Wrapper mal die Speicherverwaltung von Mozilla Firefox unter die Lupe genommen (muss wohl die Faszination des Schreckens sein oder sowas):

OK, jetzt bin ich offiziell schockiert. Ich habe mal Firefox mit dem Malloc-Wrapper laufen lassen, habe digg.com geladen, und dann auf zwei Links geklickt, bevor ich Firefox wieder zugemacht habe. Das ganze dauerte Sekunden, und das Log war fast 150 MB groß. Darin waren jeweils rund 1 Mio malloc und calloc und je rund 2 Mio realloc und free. Das ist ja barbarisch, wie ineffizient heutzutage programmiert wird! Haben die Leute denn gar keine Scham?! Unglaublich.

Grusel! Ich habe mal ein Auswerte-Skript über den Firefox-Malloc-Trace laufen lassen, und da kommen dann so Meldungen raus wie:

free called on non-malloced pointer 0x2aaaaeb11010!?

Au weia! Und 70k Beschwerden über frees auf Pointer, die nicht aus malloc oder realloc kamen.
[...]

Firefox-Speicherverwaltung taugt nix, wer hätte es gedacht? Naja, eigentlich jeder. Google liefert
  • 150000 Ergebnisse für firefox "memory leak" -"internet explorer" -opera
  • 102000 für "internet explorer" "memory leak" -firefox -opera
  • und 46000 für opera "memory leak" -firefox -"internet explorer".


Links

Payback oder PLZ?

"Haben sie eine Payback-Karte?" Die Frage ist Standard. Wenn man "nein" sagt, kommt neuerdings "Verraten sie mir ihre Postleitzahl?" Verschämt blickt die Kassiererin zu Boden, als ob es ihr peinlich ist.

Verständlich, denn wieso sollte ich Galleria Kaufhof meinen Wohnort verraten, wenn ich eine Packung Papier kaufen will? Der Infostand verrrät mir noch nicht mal wo es Schminkspiegel gibt.

"Schon gut, sie müssen ja nicht." Der Geschäftsführung scheint der Gedanken unerträglich zu sein, dass Leute einfach etwas kaufen, mit Bargeld bezahlen und den Laden verlassen.

Ich frage mich, ob die Kassiererin mir ihre Postleitzahl verrät?


Datenschutz und Payback. Stellungnahme der Deutschen Vereinigung für Datenschutz (PDF)

8. Dezember 2006

lzx32.sys erzeugt Bluescreen?

Vor vier Tagen habe ich den äußerst empfehlenswerten 103bees Search term analysis Dienst hier installiert.



Damit habe ich unter anderem herausgefunden, dass diverse Leute mit Google (Marktanteil hier 98.8%) nach Begriffen wie

lzx32.sys bluescreen
bluescreen lzx32.sys
lzx32.sys verursacht bluescreen
absturz +lzx32.sys
fehler lzx32.sys
lzx32.sys entfernen
lzx32.sys löschen
lzx32.sys probleme
kein booten wegen lzx32.sys
...

suchen. Unter "Related keywords" steht bei lzx32.sys "bluescreen" oben. Offensichtlich hat PE386 hier etwas geschlampt bei der Entwicklung.

Achja: lzx32.sys ist der Dateiname des Rustock.B-Rootkits. Es lebt in einem versteckten ADS als C:\WINDOWS\system32:lzx32.sys und gibt sich als "Win32 lzx files loader" aus. Unter HKLM\SYSTEM\CurrentControlSet\Services\pe386 wird ein versteckter Registry-Schlüssel angelegt.

Mit dem kostenlosen Sophos Anti-Rootkit lässt es sich leicht entfernen (glaube ich). Update: Stimmt gar nicht.

Rootkit verrät sich durch BSOD (Bluescreen). Dumm gelaufen :)


Update: Dank Andreas G! habe ich jetzt ein Screenshot des Bluescreens. Es ist ein klassischer "STOP: 0x0000008E". Der Bluescreen soll bei der Installation von Windows Media Player 11 auftreten?



Update:
Oh oh. Sophos Anti-Rootkit kann Rustock.B (lzx32.sys) gar nicht entfernen. Habe gerade die neue Version 1.2 getestet. Die Entfernung wird zwar angeboten, funktioniert aber nicht (wieso sagt mir das eigentlich keiner?). Hatte das Rootkit beim ersten Test nicht richtig installiert.

Der neue RootkitBuster 1.6 von Trend Micro und McAfee Rootkit Detective 1.0 Beta funktionieren teilweise. Beide finden zwar die versteckte Datei/ ADS nicht, können aber die versteckten Registry-Schlüssel löschen. Rootkit Unhooker geht auch. Code Hooks Detector->Unhook All, jetzt wird der Treiber sichtbar in Sysinternals Autoruns->löschen.

Nach dem Reboot ist das Rootkit dann nicht mehr geladen.

Die Datei kann jetzt in der Kommandozeile mit cd %SystemRoot% && echo > system32:lzx32.sys gelöscht werden (nicht vertippen dabei, sonst ist Windows futsch).


Update: lzx32.sys löschen in der Kommandozeile (für Punkt 1 und 2 muss das Rootkit vorher deaktiviert werden):

1. Normale Kommandozeile
Die Kommandozeile alias "DOS-Fenster" ruft man bei Windows 2000 / XP / Vista auf mit Start -> Ausführen -> cmd. Die Windows-Hilfe (Win-F1) hat eine ausführliche Anleitung.
Befehl eingeben: cd %SystemRoot% && echo > system32:lzx32.sys

2. Abgesicherter Modus
Beim Booten sofort nach den BIOS-Anzeigen mehrmals F8 drücken. Dann kommt ein Menü. Für die Kommandozeile auswählen "Abgesicherter Modus mit Eingabeaufforderung".
Befehl s.o.

3. Wiederherstellungskonsole (die ich im Kommentar fälschlicherweise Rettungskonsole genannt habe).
Von der Windows-Installations-CD booten. Möglicherweise geht auch eine "Recovery-CD", das weiss ich nicht.

Dann kommt ein Menü. "R" drücken.
Bei Windows 200 kommt noch ein Menü. "K" drücken.

Die Wiederherstellungskonsole ist keine normale Kommandozeile. Es werden nur die Befehle unterstützt, die mit "help" angezeigt werden.

In der Wiederherstellungskonsole gibt es kein echo, darum überschreiben wir das Rootkit mit irgendeiner Datei (in diesem Fall die Null Byte grosse IO.SYS)

Befehl eingeben:
copy \io.sys system32:lzx32.sys


Links

7. Dezember 2006

Apple ist böse!

Die Jungs von Greenpeace haben sich mal die größten Hersteller von Computern und Mobiltelefonen angesehen. Dabei haben sie rausgefunden wer den meisten Giftmüll produziert.

Apple. Die einzige Firma, die sich seit dem letzten Test kein bischen verbessert hat.



For a company that claims to lead on product design, it is perhaps surprising to find Apple at the bottom of the scorecard – moving down from 10th place. While other laggards have moved upwards in the Guide, Apple has made no changes to its policies or practices since the launch of the Guide in August 2006. The company scores badly on almost all criteria.

Der einsame Punkt ganz links im roten Bereich, das ist Apple.


Links

Avira schlauer als gedacht

Die Virenscanner des deutschen Herstellers Avira (bis Anfang des Jahres als H+BEDV bekannt) haben mit einem Update eine fehlerhafte Signatur eingespielt, die den Internet Explorer 6 als Trojaner TR.Spy.Goldun.ML erkennen. Einige verunsicherte Anwender haben aufgrund der Virenfund-Meldung ihren Internet Explorer gelöscht, um den vermeintlichen Trojaner wieder loszuwerden.

Die künstliche Intelligenz des Scanners muss den Internet Explorer wohl als Schrott erkannt haben. Endlich mal ein Virenscanner der mitdenkt.


Avira erkennt Internet Explorer als Trojaner. Heise

Die Russen-Box

Computer-"Fachzeitschriften" erreichen Monat für Monat neue Tiefststände.

Nachdem die Schlagzeile "So knacken Sie jeden Kopierschutz" schon etwas ausgelutscht ist, präsentiert PC go die neueste Errungenschaft aus dem Osten: Die Russen-Box.



Download-Zone
Russland
Hier wird das Urheberrecht völlig ignoriert - Da gib's einfach alles!
Kinderleicht und ohne Russisch-Kentnisse alles finden

Ich erwarte jetzt jeden Monat die Titelstory "Warum für Hardware bezahlen - Ladendiebstahl ohne Risiko. Lehrgang auf DVD".

Vielleicht sollten die verblödeten Redakteure auch mal im Lexikon nachsehen, wie die Flagge von Russland aussieht.

5. Dezember 2006

Web 2.0 hacken

Bei SecurityFocus habe ich einen genialen Artikel gefunden: Hacking Web 2.0 Applications with Firefox.

This article looks at some of the methods, tools and tricks to dissect web 2.0 applications (including Ajax) and discover security holes using Firefox and its plugins. The key learning objectives of this article are to understand the:

  • web 2.0 application architecture and its security concerns.
  • hacking challenges such as discovering hidden calls, crawling issues, and Ajax side logic discovery.
  • discovery of XHR calls with the Firebug tool.
  • simulation of browser event automation with the Chickenfoot plugin.
  • debugging of applications from a security standpoint, using the Firebug debugger.
  • methodical approach to vulnerability detection.

Es wird gezeigt, wie man mit Hilfe der Firefox-Erweiterung Firebug handelsübliche Webanwendungen auseinandernimmt.


Hacking Web 2.0 Applications with Firefox. SecurityFocus

Datei mit Leerzeichen am Ende löschen

Wegen eines komischen Fehlers in Windows (siehe Advisory von 48Bits) können Dateien oder Verzeichnisse mit einem Leerzeichen am Ende nicht ohne weiteres gelöscht werden.

Solche Dateien und Verzeichnisse werden gerne angelegt von älteren InstallShield-Versionen und Mac-Usern.

Datei mit Leerzeichen am Ende

Erzeugen: echo > "\\?\C:\foo "
Löschen: del "\\?\C:\foo "

(In der Kommandozeile).

Mit dem guten IceSword oder DarkSpy kann man solche Dateien auch mit der Maus löschen.


Links

3. Dezember 2006

Phishing-Angriff

Die bemitleidenswerten Abenteuer von Ü-Man haben mich auf die Idee gebracht eigene Comics zu machen.




Gemacht mit Stripcreator.

Test GMER Anti-Rootkit 1.0.1.2

Ich hatte es bisher vermieden GMER ausgiebig zu testen, denn die Anti-Rootkit Software des gleichnamigen Polnischen Programmierers lief in Vorgängerversionen teilweise überhaupt nicht in Virtual PC/ VMware und hat bei einem Versuch mein Testsystem komplett geschrottet.

Die aktuelle Version 1.0.1.2 der Freeware scheint aber besser zu sein. GMER ist eine Art Rootkit-Detektor mit eingebautem HIPS und Personal Firewall oder umgekehrt. In dieser Kombination ist das Programm vermutlich einzigartig.

Das Programm wird konfiguriert über die Benutzeroberfläche oder eine INI-Datei im Systemverzeichniss. Auch die Logdatei GMER.LOG befindet sich im Systemverzeichniss, ebenso wie der "Uninstaller" (eine Batchdatei).


Funktionen

Beim Start führt GMER automatisch eine Schnellprüfung durch. Wenn irgendwas verdächtiges auftaucht, wird ein Scan empfohlen. Aber auch wenn nichts verdächtiges auftaucht sollte man einen Scan machen. Die Schnellprüfung findet nämlich längst nicht alles. Bevor die meisten Rootkits angezeigt werden, muss ein Scan durchgeführt werden.

Die Ergebnisse des Scans werden in einer langen Liste im Rootkit Tab angezeigt. Mit der rechten Maustaste kann man dort diverse Aktionen durchführen. Dort kann man auch gefundene Hooks beseitigen.

Mit dem Button "Kill all" unter Processes werden alle Prozesse ausser CSRSS.EXE und GMER selbst beendet. Damit kann man zum Beispiel einen Virus-Scanner in einer sauberen Umgebung laufen lassen. Mit "Run" kann man in diesem Zustand beliebige Programme aufrufen.

Daneben gibt es noch einen "GMER Safe Mode", bei dem nach einem Reboot GMER als einziges Programm gestartet wird (Desktop wird nicht geladen). Der Safe Mode ist aber riskant. Wenn sich GMER - wie im Test geschehen - aufhängt, startet das System nicht mehr normal.

Der Tab "Autostart" zeigt einige Autostarts an, man kann aber nichts löschen.

GMER hat auch einen simplen Datei-Explorer (Copy geht nicht, nur Delete), eine eingebaute Kommandozeile und unterstützt mit einem eingebetteten IE Web-basierte Virus-Scanner.




"System protection and tracing"

Mit der Funktion "System protection and tracing" im Settings-Tab kann eine Art HIPS (Host Intrusion Prevention System) aktiviert werden.

Es können Prozesserzeugung, geladene Treiber und DLLs, Registry- und Dateizugriffe und Netzwerkverbindungen überwacht werden.

Dieser Programmteil ist unter Windows 2000 gefährlich instabil.

Das HIPS erzeugt auch ein nützliches Logfile, in dem alle überwachten Aktivitäten aufgezeichnet werden.




"Firewall"

Die "Personal Firewall" von GMER führte im Test zum nicht behebbaren Ausfall von telnet.exe. Diese Funktion wurde nicht näher getestet.





Test: GMER 1.0.1.2 vs Rootkits
System: Windows XP Pro SP2

Nach der Installation des Rootkits erfolgt jeweils ein Reboot.


AFX Rootkit 2005 - GMER findet das Rootkit, stürtzt dann sofort ab. Nachdem es entfernt wurde funktioniert GMER wieder.

Settec AlphaDVD - GMER findet verstecken Prozess, außerdem hält es sich selbst für einen verstecken Prozess mit der PID des AlphaDVD Prozesses (siehe Screenshot). Wenn man den AlphaDVD Prozess killt und GMER neu startet, verschwindet auch der "versteckte" GMER Prozess.

BadRKDemo_XP - Findet beim Scan den versteckten Treiber und Hooks. Wird auch unter Services angezeigt, kann aber nicht deaktiviert werden*. Nachdem mit "Restore Code" die Hooks entfernt wurden kann man den Treiber mit Sysinternals Autoruns deaktivieren.

FUTo_enh - Findet versteckten Treiber und Prozesse. Kann Prozess killen (ausser GMER können das nur Rootkit Unhooker 3 und IceSword 1.20, soweit ich weiss).

HideToolz, Hacker Defender 100, Rustock.B - Keine Probleme.

Vanquish 0.2.1 - Findet es, dazu noch ein paar "versteckte" Libraries die gar nicht versteckt sind und viele Registry Schlüssel die mit dem Rootkit gar nichts zu tun haben?

Zcodec-Ruins - Findet Hooks, aber nicht alle? Erst nach "Unhook" mit Rootkit Unhooker wird der versteckte Registry Schlüssel bei Sysinternals Autoruns sichtbar.

phide_ex - Findet Prozess, Treiber nicht.

RkUnhooker test rootkit 1.2 - Findet Prozess, Treiber nicht.


* Das Kontextmenü unter "Services" scheint überhaupt nicht zu funktionieren.


Fazit

GMER hat mehr Funktionen als jeder andere Rootkit-Detektor (außer vielleicht IceSword), alleine deshalb ist es bereits einen Blick wert.

GMER hat eine sehr gute Erkennungsleistung gegen Rootkits und einige interessante Funktionen. Leider ist besonders der HIPS-Teil ziemlich instabil. Auch ansonsten führte das Programm überdurchschnittlich oft zu Abstürzen und scheint inkompatibel zu diversen anderen Sicherheitsprogrammen zu sein.

Vor einem Test des HIPS "System protection and tracing" ist ein Backup dringend empfehlenswert - aber das ist es eigentlich immer. Es kann vorkommen, dass das System dann nicht mehr startet. Unter Windows 2000 ist GMER generell nicht zu empfehlen.

Die Erkennung von Hooks ist teilweise unzuverlässig und die Entfernung kann zu Bluescreens führen. Rootkit Unhooker 3 ist hier besser.

Highlight ist vermutlich der einzigartige "GMER Safe Mode" und das Logging des HIPS. Der Safe Mode ist nicht zu verwechseln mit dem "sicheren Modus" von Windows.

Der Registry Scanner ist manchmal unsäglich lahm, aber immer gründlich. Die Suche nach versteckten Dateien unterstützt auch ADS (Streams) und ist genauso lahm.

Anleitung gibt es nicht, aber verschiedene Beispiele auf der Website.

Alternative: Rootkit Unhooker 3 ist stabiler, kompatibler und findet mehr. Hat allerdings weniger Funktionen, findet keine versteckten Registry-Schlüssel und hat kein Logging.

Wenn es dem Programmierer GMER gelingt dem Programm diverse Bugs auszutreiben, könnte es richtig gut werden.


Update 17.12.: Die GMER-Homepage ist zur Zeit nicht erreichbar (vermutlich DDoS-Angriff).


Links

1. Dezember 2006

Apple-User sind dumm

Scott Granneman berichtet von einem Vorfall in "einem Europäischen Land" ohne Namen zu nennen:

Offenbar hat dort eine bekannte Fernsehmoderatorin ihren gebrauchten Apple Mac verkauft. Der neue Besitzer fand auf dem Rechner dann ihre selbstgedrehten Pornos - und die Tussi sagte ihm noch das Passwort am Telefon.

My brother-in-law just bought a used Intel 20" iMac. The seller was a nice looking blonde, who didn't wipe the disk. You can probably see where this is going, but it's better than that.

For some reason, he thought he needed her password to reinstall the system, so he called her and she gave it to him. Well, he had already seen some pornographic pictures on the hard drive that weren't password protected.

Windows-User würden sich nie so zum Brot machen, oder?


Links

Neue Adressen für Feeds

Im Zuge der allgemeinen Umbaumaßnahmen und der Konvertierung zu Blogger Beta wurden auch die URLs für Feeds geändert. Es gibt jetzt auch einen Feed für Kommentare (nicht dass es übermäßig viele davon gäbe).

Es gibt jetzt außerdem Feeds für Labels. Damit kann man einzelne Themenbereiche abonnieren. Es gibt auch auf den Artikelseiten unten die Möglichkeit nur die Kommentare eines einzelnen Artikels zu abonnieren.

Atom
Artikel: http://c-ko.blogspot.com/feeds/posts/default
Kommentare: http://c-ko.blogspot.com/feeds/comments/default

RSS
Artikel: http://c-ko.blogspot.com/feeds/posts/default?alt=rss
Kommentare: http://c-ko.blogspot.com/feeds/comments/default?alt=rss

Label Feeds (Atom):
Rootkits: http://c-ko.blogspot.com/feeds/posts/default/-/Rootkits
Paranoia: http://c-ko.blogspot.com/feeds/posts/default/-/Paranoia
Windows: http://c-ko.blogspot.com/feeds/posts/default/-/Windows
Bilder: http://c-ko.blogspot.com/feeds/posts/default/-/Bilder

Die alten URLs sind weiterhin gültig, werden es vermutlich auch bleiben.

Auch neu: Erstaunlicherweise hat Google nach nur fünf Tagen eine Supportanfrage von mir beantwortet. Es scheint so, als wollten sie den komischen Fehler mit den Umlauten in alten Kommentaren tatsächlich reparieren.

Laut Logfile benutzt Google übrigens Firefox 2.0 unter Mac OS X.