Bananas Development Blog: Archives

Gendaken zu CVE-2014-0160

Wie immer sind das persönlich Gedanken und Meinungen...

Wer hat eigentlich diesen OpenSSL-Code geschrieben, wegen dem jetzt alle Keys kompromittiert sind?
(...)
Eine Sache noch. Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen.
(...)


Hmmm....

The Heartbleed Bug in OpenSSL. CVE-2014-0160

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed Bug

Hier noch ein wenig mehr Infos dazu:
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

Und wie man es nun Forward Secrecy einrichtet. Denn mit dem wäre der Bug nur halb so schlimm.

https://www.openssl.org/news/secadv_20140407.txt

Der Mob hat gewonnen. Brendan Eich nicht mehr CEO

Schade, sehr schade.

Leider leuchtet der Stern Mozilla nicht mehr so schön am Himmel. Bisher als Vordenker in Sachen Freiheit und Vielfalt und nun das.

Angefangen hat das mit der Bestellung von Brendan Elch als CEO:
ON BRENDAN EICH AS CEO OF MOZILLA

Und nun hat der Mob gewonnen
Brendan Eich Steps Down as Mozilla CEO

Und nun versucht man sich auch noch rauszureden....
(...)
Mozilla believes both in equality and freedom of speech. Equality is necessary for meaningful speech. And you need free speech to fight for equality. Figuring out how to stand for both at the same time can be hard.
(...)


CUBESTORMER 3

Die Aktuelle Zeit den Rubik Cude zu lösen liebt bei 5.55 Sekunden. Für einen Menschen.

Nun gibt es mal wieder einen neuen Rekord. Allerdings von einem Roboter.

CUBESTORMER 3 Smashes Rubik's Cube Speed Record


Bemerkenswert ist so eine Leistung schon, denn die Materialien sind aus dem Mindstorms Projekt von Lego. Nur der Prozessort ist nicht der Brick sonder ein Handy.
Wenn mann einen optimalen Würfel hat und "bessere" Hardware, dann lässt sich an dieser Rekord Zeit noch was machen.

ARM-Powered® Robot Breaks World Speed Record For Solving A Rubik’s Cube At UK’s Big Bang Fair 2014

ZendStudio Debugger ohne ZendServer

Den ZendStudio Web Debugger gibt es nur noch für alte PHP Versionen. Standalone wird es ihn nicht mehr geben. Somit ist man erst mal auf den ZendServer angewiesen.

Dieser gibt aber die komplette Plattform vor. Kann praktisch sein, aber wenn man schon ein bestehendes System ohne ZendServer hat, dann fällt es einem schwierig da umzuschwenken.

Aber man ist ja nicht auf den Kopf gefallen, denn das ZendServer Paket hat ja den Debugger enthalten... Und zum Glück nichts als Binary sonder als normale LAMP Umgebung. Daher sollte es doch möglich sein die benötigten Dateien dort rauszuholen. Und siehe da das geht.

Also sich mal den ZendServer installieren. Aus dem Installationsverzeichnis brauchen wir: ( mein Installationspfad war /usr/local/zend )
/usr/local/zend/etc/conf.d/debugger.ini
/usr/local/zend/lib/debugger/php-5.5.x/ZendDebugger.so
/usr/local/zend/share/dist/dummy.php

Diese müssen dann nur noch in die entsprechenden Verzeichnisse verschoben werden. Die meisten bekommt man raus wenn man die phpinfo(); Funktion im Browser ausgibt.
Die dummy.php Datei muss ins webroot.

In der debugger.ini muss folgendes eingetragen werden:
zend_extension=/path/to/the/ZendDebugger.so

Die andere Option mit dem Verweis auf das extension_dir muss raus.

Apache neu starten und die Ausgabe von phpinfo() sollte nun Zend Debugger aufführen.

Bauen mit Mindstorms EV3

Ich bin stolzer Besitzer des LEGO Mindstorms EV3 31313 Sets. So bald ich Zeit habe versuche ich mich damit zu beschäftigen.

Mein erster Versuch etwas ohne Anleitung zu erschaffen ist geglückt:



Es ist ein Anfang. Es ist nicht perfekt und vor allem sicherlich nicht "gut" aber es funktioniert und es ist ganz ohne Bauanleitung erstellt.

Was kann dieses Modell ?
Es ist ein fahrbares Modell, dass selbstständig im Raum fahren kann und Objekten ausweicht. Dazu wird der IR-Sensor verwendet. Der Ultraschallsensorist in dem 31313 Paket nicht dabei. Daher ist die Fahrweise beschränkt.
Der Touch Sensor dient zum Starten und Beenden. Somit kann man es auf den Boden stellen und danach starten und anhalten.

Um das Modell selbst nachzubauen oder um einfach nachzuschauen wie es realisiert worden ist benötigt ihr zwei Anwendungen:
- Die EV3 Entwicklungsumgebung
- LEGO digital designer

Die EV3 Entwicklungsumgebung wird zur Ansicht der Programmierung und zum Einspielen des Programms auf den EV3 Block benötigt.
der LEGO digital Designer wird zur Ansicht des 3D-Modells und zur Bauanleitung benötigt.

Ich weis, dass man die Anleitung und alles Andere in ein EV3 Projekt importieren kann aber soweit bin ich noch nicht. Denn die Bauanleitung kann man da leider nur als Bild hinterlegen, daher die Anleitung als 3D Modell.

Hier nun die zwei Dateien als Download.

Was noch zu beachten ist: Im 3D Modell habe ich es nicht geschafft die Raupenräder drannzumachen, daher fehlen diese. Die kommen in so einer Art Dreiecksform an das Modell.

Viel Spaß dabei. Bei Fragen einfach melden.

mail at bananas - playground dot net

Gedanken zur dem E-Mail Datenfund vom BSI

Das BSI hat eine Liste mit E-Mail Adressen gefunden die aus einem Botnetz stammen:

BSI: Mehrere Millionen Internet-Konten durch Botnetze geknackt

Wusste aber schon seit Dezember 2013 bescheid:

BSI wusste seit Dezember von millionenfachem Identitätsklau

hmmm.

Hier noch ein paar Gedanken zu dem Thema, die einen mal nachdenken lassen:
Ich hab zu dem BSI-Ding nichts gesagt, weil da die ganzen Fakten im Verborgenen bleiben. Es gibt da eine nebulöse Webseite beim BSI, bei der man seine Email-Adresse eingeben kann, und der sagt einem dann, ob man gehackt wurde oder nicht. Das erscheint nicht nur mir sehr suspekt, es erinnert gar an den alten Witz "geben Sie hier Ihre Kreditkartennummer ein, dann sagen wir Ihnen, ob Ihre Kreditkartennummer in den Händen von irgendwelchen Leuten im Internet ist". Antwort: Ja.


Sehr komisch, das ist.

LG will doch nur helfen...

Bei LG wurde aufgedeckt, dass sie Informationen nach Hause versenden.
Nun gibt es eine Stellungnahme zu diesem Thema von LG

LG says it will push out firmware update for spy TVs, but fails to apologise
At LG, we are always aiming to improve our Smart TV experience. Recently, it has been brought to our attention that there is an issue related to viewing information allegedly being gathered without consent. Our customers’ privacy is a very important part of the Smart TV experience so we began an immediate investigation into these claims. Here’s what we found:

Information such as channel, TV platform, broadcast source, etc. that is collected by certain LG Smart TVs is not personal but viewing information. This information is collected as part of the Smart TV platform to deliver more relevant advertisements and to offer recommendations to viewers based on what other LG Smart TV owners are watching. We have verified that even when this function is turned off by the viewers, it continues to transmit viewing information although the data is not retained by the server. A firmware update is being prepared for immediate rollout that will correct this problem on all affected LG Smart TVs so when this feature is disabled, no data will be transmitted.

It has also been reported that the names of media files stored on external drives such as USB flash devices are being collected by LG Smart TVs. While the file names are not stored, the transmission of such file names was part of a new feature being readied to search for data from the internet (metadata) related to the program being watched in order to deliver a better viewing experience. This feature, however, was never fully implemented and no personal data was ever collected or retained. This feature will also be removed from affected LG Smart TVs with the firmware update.

LG regrets any concerns these reports may have caused and will continue to strive to meet the expectations of all our customers and the public. We hope this update clears up any confusion


Marketing at its best...

LG telefoniert nach Hause

Nach der Aussage von folgendem Bericht, senden Smart-Fernseher von LG Information, über das Fernsehverhalten und sogar über angeschlossene USB Geräte, an LG.

LG Smart TVs logging USB filenames and viewing info to LG servers
LG Smart Ad analyses users favourite programs, online behaviour, search keywords and other information to offer relevant ads to target audiences. For example, LG Smart Ad can feature sharp suits to men, or alluring cosmetics and fragrances to women.
Furthermore, LG Smart Ad offers useful and various advertising performance reports. That live broadcasting ads cannot. To accurately identify actual advertising effectiveness.


Maleware verlässt unseren Planeten

International Space Station Infected With USB Stick Malware Carried on Board by Russian Astronauts
Renowned security expert Eugene Kaspersky reveals that the International Space Station was infected by a USB stick carried into space by a Russian astronaut.


Aber im Lichte der Snowden Dokumente würde es mich nicht wundern, wenn da noch mehr "Sicherheitslücken" gefunden werden.

mysql_upgrade. So funktioniert es.

Sollte man in die Lage kommen mysql_upgrade ausführen zu müssen, dann sollte der Befehl wie folgt aufgebaut sein:

mysql_upgrade -u USERNAME -p –socket=/path/to/socket -v


Den Socket braucht man nur wenn man keinen Standart verwendet. Wichtig ist der Benutzer und Passwort, ansonsten bricht das Programm ab. Leider ohne den Grund zu nennen...