Vorbereitung zur Vorratsdatenspeicherung

Ab dem 01.07.2017 werden sämtliche Verkehrsdaten in Deutschland, die bei der Telekommunikation anfallen, bis zu 10 Wochen gespeichert.

Gespeichert werden unter anderem:

  • die Rufnummer oder Kennung des anrufenden und des angerufenen Anschlusses, bei Um- oder Weiterschaltungen jedes weiteren beteiligten Anschlusses,

  • Datum und Uhrzeit von Beginn und Ende der Verbindung,

  • Angaben zum genutzten Dienst

  • im Fall mobiler Telefondienste ferner

    die internationale Kennung mobiler Teilnehmer für den anrufenden und angerufenen Anschluss,
    die internationale Kennung des anrufenden und angerufenen Endgerätes,
    Datum und Uhrzeit der ersten Aktivierung des Dienstes, wenn Dienste im Voraus bezahlt wurden,
    die Bezeichnungen der Funkzellen
    
  • im Fall von Internet-Telefondiensten

    die IP des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen
    die Zeitpunkte der Versendung und des Empfangs der Nachricht bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht
    
  • Daten für unbeantwortete oder erfolglose Anrufe gem. § 96 Abs.1 Satz 2 TKG

  • die dem Teilnehmer für eine Internetnutzung zugewiesene IP

  • die eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie die zugewiesene Benutzerkennung

  • Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen IP

  • bei öffentlich zugänglichen Internetzugangsdiensten und deren mobiler Nutzung

    die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle
    die Daten zur geografischen Lage und Hauptstrahlrichtungen der versorgenden Funkantennen
    

Quelle: https://www.datenschutz-wiki.de/Vorratsdatenspeicherung

Es gibt also genug Gründe in Zukunft seine Internetaktivitäten zu verschleiern und sein Handy nicht dauernd eingeschaltet bei sich zu tragen.

Aber ein OpenWRT-Router (GL-AR300M) für 35,00 € & ein VPN-Server lösen (http://gl-inet.com/docs/openwrt/openvpn/) zumindest das Problem der Verkehrsdaten (gegen Standortdaten hilft nur ausschalten!). Das Setup des kleinen Routers ist nicht schwer, nur unnötige Dienste wie Samba oder Telnet sollte man vielleicht via SSH abschalten (/etc/init.d/samba disable && /etc/init.d/samba stop). Dieser kleine Router könnte, bereits konfiguriert, auch ein klasse Geschenk sein...nur als kleine Anregung.

Einen kostenlosen VPN-Server, der keine Nutzeraktivitäten protokolliert und auch nie protokollieren wird, findet man bei https://www.saveyourprivacy.net/vpn-service. Wir finanzieren uns nur über Spenden & Mitgliedsbeiträge und haben keine Gewinnerzielungsabsicht. Jeder Euro fließt in mehr Bandbreite oder neue Server! ;-)

Wer diesem sympathischen Aktivisten-Kollektiv dennoch nicht traut, kann auch kommerzielle Angebote nutzen. Speziell VPN.ac kann ich hier aufgrund persönlicher Kontakte & Erfahrungen empfehlen. Zusätzlich sollte man bedenken, dass man seinen VPN-Anbieter nicht mit seiner Kreditkarte oder seinem PayPal-Konto bezahlt...und nein, man kauft auch die Bitcoins nicht via Kreditkarte oder PayPal!

Die Vorratsdatenspeicherung mit Technik zu bekämpfen hilft zunächst, behebt aber das Grundproblem nicht. Wenn man seinen lokalen Bundestagsabgeordneten noch nicht persönlich kennt, ist das ein toller Zeitpunkt um ihm/ihr mal mitzuteilen, dass man von der Vorratsdatenspeicherung nicht besonders begeistert ist.

Wer Fragen oder Anregungen hat, darf mich natürlich gerne kontaktieren. :-)

From CSRF to account takeover

Can you visit an online shop only to buy something? I can’t…as soon as the browser loads the site I think about possible bugs and exploitation techniques, I guess it’s an addiction or illness. :-D But I like it, it makes shopping a real adventure.

oneplus.net used CSRF protection to prevent unauthorized commands being sent under the context of the user. But it could be bypassed by sending a specially crafted CSRF token (form_key). I found out that their back end system couldn’t handle parameter values that started with a “-”. So form_keys starting with a “-” were accepted although they weren’t valid. This allowed an attacker to add arbitrary default addresses to a victim’s account.

Screenshot - PoC

Unfortunately all parameters were appropriately sanitized so I couldn’t weaponize it to a nice stored XSS. But that was not needed at all. ;-) Adding default addresses like MostEvil Guy living in the MilkyWay to random OnePlus accounts could be quite funny, but I didn’t want to leave without an account takeover.

Let’s get it started!

1.) Send the victim the CSRF exploit, use the telephone field! Offering someone to call you creates trust. 2.) Create an email account and make sure there’s a connection to your cover identity (added address), i.e. prename.surname@randomprovider.com 3.) Send a recovery request to accounts[

The “recovered” account will contain credit card data and (pending) orders…but it’s absolutely not worth the effort as long as phishing works that good…

OnePlus: “Taking into account the difficulty of this vulnerability being exploited(It requires a combination of sophisticated social engineering),we can offer you a headset as gift to express our appreciation.”

The flaw was responsible reported to the awesome guys at security[

Thank you liuyingwei! Keep it up!

Hello World!

Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"... Damn kids. They're all alike.

But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him? I am a hacker, enter my world...Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...Damn underachiever. They're all alike.

I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..." Damn kid. Probably copied it. They're all alike.

I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me... Or thinks I'm a smart ass... Or doesn't like teaching and shouldn't be here... Damn kid. All he does is play games. They're all alike.

And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all... Damn kid. Tying up the phone line again. They're all alike...

You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us will- ing pupils, but those few are like drops of water in the desert.

This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.

Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.

I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike.

Source: http://phrack.org/issues/7/3.html