Alle Weblogs zum Thema Kryptografie nach Datum sortiert (neueste zuerst)
Entfernen der Badbox Malware von der bei AliExpress gekauften TV-Box H20pro (Allwinner H616 CPU und Mali G31 GPU)Heute soll es um die Desinfektion (oder den Versuch) der zweiten Box, der H20pro mit Allwinner H616-CPU und Mali G31-GPU gehen. Diese ist um einiges leistungsstärker als die H20 aus dem letzten Artikel und ich würde sie wirklich gerne weiter benutzen. Viele TV-Boxen haben den gleichen oder einen ganz ähnlichen Chipsatz und heißen T95 (Max/Pro), X12 (Plus), X88 (Pro), G96 (Max), H96 (Max), X96q, MXQ (pro), 4K, 6K, 8K oder ähnlich. Die Wahrscheinlichkeit, dass diese auch mit der Badbox Malware infiziert sind, ist hoch. |
Desinfektionsversuch der Badbox Malware von der von AliExpress gekauften TV-Box H20 (RK3228a CPU und Mali-400MP2 GPU)Nun will ich alle vorhergehenden Analysen in einen Topf werfen und versuchen, die Malware von den Geräten zu entfernen, so dass sie keinen Schaden mehr anrichten und können und ich sie weiter verwenden kann. Anfangen werde ich in diesem Artikel mit der H20 (ohne Pro). |
Zweite Box H20 pro: Internet-Kommunikations-Analyse der von AliExpress gekauften TV-Box mit Badbox-MalwareNun kann ich also auch die H20pro einer DNS- und HTTP-Analyse unterziehen. Ein erster Blick auf die DNS-Kommunikation zeigte, dass die H20pro die Domain ycxrl.com abrufen wollte, was ein Zeichen für die Infektion mit der Badbox-Malware ist. Die H20 (ohne Pro) benutzte ja noch die Domain dcylog.com, dessen Firmware ist aber auch älter. Wahrscheinlich ändern sich die Domains der Malware im Laufe der Zeit immer wieder. |
Analyse des Netzwerk-Verkehrs der von AliExpress gekauften TV-Box H20 mit Badbox-MalwareDie Badbox Malware den Kontakt zum Command-and-Control-Server mit einem POST /terminal/client/apiInfo aufnehmen. Schauen wir doch einmal, ob das bei meiner H20 Badbox auch der Fall ist. Wir können den Internet-Traffic auf dem Android Gerät selbst anschauen mithilfe der Android App NoRoot Firewall von GreyShirts, oder auf deutsch: Firewall ohne Root, dass ich in Version 4.0.2 als APK bei uptodown gefunden habe. |
Von AliExpress gekaufte TV-Box H20 Pro mit Badbox-Malware infiziert!?Eigentlich hätte ich misstrauischer sein sollen bei Geräten aus China. Aber da hatte ich schon vieles gekauft und eigentlich noch nie Probleme mit der Software-Sicherheit. Und als sich die beiden Geräte für mich ganz normal verhalten haben - naja, außer der H20, der oft schnarchlahm war, habe ich sie auch eingesetzt und fast täglich benutzt. Aus Bequemlichkeit habe ich mir nicht die Mühe gemacht, den Netzwerkverkehr näher zu analysieren. Doch dann bekam ich dieser Tage eine e-mail von meinem Internet-Provider Vodafone (ehemals Kabel Deutschland). |
Keine Internet-Verbindung mehr mit Vodafone Router Station CGA4233DE und auch kein Login mit PasswortWas ist denn da mit dem Vodafone Router los? Warum gibt der meinem PC nicht seine IP, sondern eine, die ganz daneben ist. Über den PC komme ich so erstmal nicht an den Router unter 192.168.0.1. Also benutze ich mein Smartphone über WLAN, um mich mit dem Administrations-Interface des Routers zu verbinden. Das klappt. Allerdings lässt mich mein Router nicht rein: Ungültiger Benutzername oder Kennwort. |
Plötzlich ungewollt offenes WLAN mit dem Vodafone-Router Compal CBN-CH766CEIch wache heute morgen auf. Bin irgendwie noch nicht so richtig ausgeschlafen. Es dringt ein wenig Licht durchs Schlafzimmerfenster. Ist es schon Zeit, aufzustehen oder ist heute einfach nur ein sonnigerer Tag? Im November weiß man ja nie. Ich will Klarheit und raunze meinem amazon Echo Dot im Schlafzimmer zu: Alexa, Uhrzeit!. Alexa rattert eine ganze Litanei herunter, die mich endgültig meiner Option, eventuell wieder einschlafen zu können, beraubt. Sie kann keine Verbindung mit meinem WLAN-Netzwerk herstellen. Ich soll den Echo und den Router ausschalten und wieder einschalten blah blah... |
News und es darf gerätselt werden: Tool für die Kryptoanalyse der KartenIch habe ein kleines Online-Tool entwickelt, das Rhino-Chiffre-Decoder-Tool mit dem wirklich jeder sich an der Rätselsei um diese Chiffre beteiligen kann. Kurz zusammengefasst zeigt das Tool die Transkriptionen der bisher eingereichten Postkarten an und bietet die Möglichkeiten, Zuordnungen zwischen den Geheimsymbolen und Klartextbuchstaben zu machen. Die Postkarten-Texte werden dann entsprechend durch Klartextbuchstaben ersetzt. |
Rhino-Chiffre-Decoder-Tool für die Geheimsymbole auf den seltsamen PostkartenDieses Tool soll speziell bei der Kryptoanalyse zur Rhino-Chiffre unterstützen. Dazu ersetzt es angegebene Geheimsymbole durch normale Klartextbuchstaben und zeigt die Postkarten dann im so entstehenden Klartext an. Damit kann leichter erkannt werden, ob Zuordnungen einen Sinn ergeben oder nicht. So können nach und nach durch Probieren Zuordnungen herausgefunden bzw. ausgeschlossen werden und der Klartext Stück für Stück aufgedeckt werden. |
Weitere statistische Auswertungen der Geheimsymbole auf den bisherigen PostkartenIch habe nochmals das Aussehen der Transkriptionen verändert und diese in Tabellen gepackt, bei denen jeweils 10 Symbolnummern in einer Zeile stehen. Auf diese Transkriptionen wird in Zukunft desöfteren Bezug genommen werden und zwar in der Form [Postkarte].[Symbolposition]. Die Postkartennr. findet sich fett gedruckt vorne in der 2. Spalte der Tabelle. |
Erste Statistische Auswertung der Geheimsymbole auf den bisherigen PostkartenNochmals vielen Dank an alle, die ihre Postkarte schon eingesandt haben. Es fehlt aber noch die Großzahl. Es ist höchst zweifelhaft, ob wir mir den bisherigen acht Postkarten irgendetwas reißen können. Die Datenbasis ist für die Komplexität der Chiffre einfach zu gering. Trotzdem haben sich Wuselmann und ich an das Auseinanderdröseln der Symbole gemacht und jedem Symbol eine eigene Nummer verpasst, damit man sie überhaupt vernünftig ansprechen kann und "Zeichen 047" statt "das Tic Tac Toe Kreuz mit den drei Kreisen schräg von unten links über die Mitte nach oben rechts". |
Alle Geheimsymbole von den bisherigen Postkarte und erste TranskriptionenDer Miträtsler Wuselmann hat sich die Mühe gemacht, alle acht Postkarten durchzugehen und die unterschiedlichen Symbole darauf zu sammeln. Vielen Dank dafür! |
Weitere 3D-Postkarten mit Geheimschrift sind aufgetauchtDie NextGenHackers aus Bamberg haben ebenfalls eine Karte bekommen. Diese trägt die Nummer 15 und wird gleich von mir in die Reihen der gefundenen Karten (siehe unten) eingereiht. Die NextGenHackers richten übrigens auch den Wettbewerb Deutschlands bester Hacker aus. Zu hacken gibt es hier zwar weniger, aber trotzdem sind kluge Köpfe zum miträtseln immer gern gesehen. Die Aufgabe ist ja nicht ganz trivial. |
Eine weitere 3D-Postkarte und eine e-mail von Puppetmaster Rhino DinoGestern habe ich eine e-mail bekommen von jemanden, der sich "Rhino Dino" nennt und einen GMail-Account benutzt. Natürlich ist Rhino Dino damit immer noch anonym und gibt keine weiteren Hinweise zu seiner Identität. Das "Rhino" hat er von den Dateinamen, mit denen ich die Grafik meiner Postkarte mit den Nashörnern benannt habe. Das "Dino" kommt von dem Mailschreiber selbst. |
Zwei weitere 3D-Postkarten mit Geheimschrift aufgetauchtBei einem Gespräch mit Klaus Schmeh, seines Zeichens ebenfalls Kryptografie-Experte und Autor zahlreicher Bücher über das Thema habe ich ihn nebenbei mal gefragt, ob er zufällig auch so eine komische Postkarte bekommen hätte. Dies lag nicht ganz so fern, als dass es nicht unmöglich gewesen wäre, denn vielleicht hat jemand ja auch alle möglichen Kryptologen herausgesucht und angeschrieben. Allerdings lag die Vermutung dann auch wieder so fern, dass ich mir ein klein bisschen blöd vorkam, so komische Fragen zu stellen. Doch zu meiner und auch Klaus' Überraschung stellten wir fest, dass auch er eine solche Karte bekommen hatte. |
3D-Postkarte mit Geheimschrift bekommen - ein neues deutsches ARG?Heute habe ich einen Fenster-Briefumschlag ohne Absenderangabe in meinem Briefkasten vorgefunden. Auch der Poststempel lässt sich nicht entziffern, allenfalls lässt sich ein "Briefzentrum" erahnen. Wie gesagt, gab es keine Absenderangabe und meine Adresse war rechts neben das Fenster gequetscht: Name, Straße, Postleitzahl, Ort, mehr nicht. Wie der anonyme Absender an meine Adresse gekommen ist? Keine Ahnung. Vielleicht hatte sie noch eine ARG-Agentur von einem früheren ARG gespeichert, vielleicht hat sie auf jemand einfach in meinem Impressum auf meine Homepage gefunden. |
Kleiner Plausch mit bing / ChatGPT über die Cäsar ChiffreUm Bing überhaupt im Chat-Modus verwenden zu dürfen, braucht man ein paar Sachen: Nämlich einen Microsoft-Account (kostenlos), damit bing einen identifizieren und wiedererkennen kann. Dann muss man sich mit dem neuen (oder bereits vorhandenen) Account auf die Warteliste setzen lassen. |
Kann Chat GPT beim Lösen von Geocaching Mysterys helfen?Das Künstliche Intelligenz-Werkzeug Chat GPT von OpenAI ist momentan in aller Munde. Ja, man könnte sogar von einem regelrechten Hype sprechen. Die Nachrichtensendungen und -zeitschriften und auch die Internet-Meldungen überschlagen sich mit Schlagzeilen über ChatGPT. |
Der Spagat: M5Stack TFCard mit Krypto-Modul und OLEDEigentlich kann man nur ein I2C-Modul am M5Stack TFCard anschließen. Wie man es doch mit Zweien schafft, zeigt dieser Artikel. |
Vorstellung der M5Stack ID-Unit: Krypto-Modul mit ATECC608B Krypto-ChipUNIT ID ist ein Krypto-Coprozessor mit hardwarebasierter sicherer Schlüsselspeicherung, integriert in den ATECC608B-Hardware-Kryptografiechip, der die I2C-Kommunikationsschnittstelle verwendet. Der Chip verfügt über ein eingebautes 10 kb (wohl Kilobit, also 10240/8 = 1280 Bytes)-EEPROM zum Speichern von Schlüsseln, Zertifikaten, Daten, Verbrauchsaufzeichnungen und Sicherheitskonfigurationen. Die Konfiguration kann gegen Änderungen gesperrt werden, indem der Zugriff auf Speicherbereiche eingeschränkt wird. |
Mysterys lösen für Anfänger (und Fortgeschrittene)Bei Geocaching.com werden Mysterys als "Unknown" mit blauem Fragezeichen als Symbol gelistet. "Unknown" deshalb, weil die Koordinaten zu Anfang noch unbekannt sind. Bei Opencaching.de heißen Mysterys "Rätselcache" und haben als Symbol eine blaue Truhe vor einem stilisierten Kreuzworträtsel. |
Funktastatur und Funkmaus hacken und abhören. Ist meine sicher?Bereits im März 2015, als ich meine neue Microsoft Sculpt Ergonomic Desktop Tastatur auspackte, testete und darüber berichtete, stellte ich mir die Frage nach deren Sicherheit. Auf der Verpackung sind zwar reichlich Fotos, an denen man erkennen kann, dass es sich um ein Set aus Funktastatur und Funkmaus handelt, aber ich fand kein Wort über die Funktechnolgie oder deren Sicherheit. Weder auf der Verpackung, noch im Produkthandbuch. Ist die Übertragung von der Funktastatur zum Dongle verschlüsselt? Und wenn ja, mit welchem Standard? Keine Angabe. |
ARG The Final MillAuf dieses ARG bin ich durch eine Stellenanzeige in der c't April 2008 gestoßen, welche schon ein wenig seltsam anmutete und deshalb mein Interesse weckte. Eine gewisse van Velsenmeer Foundation suchte hier scheinbar nicht wirklich nach neuen Mitarbeitern, denn das Inserat lautete auf "Melden Sie sich nicht bei uns. Wir melden uns bei Ihnen.". Ansonsten war nur ein großes Logo mit dem Leitspruch "Nihil fit sine causa" (nichts geschieht ohne Grund) zu sehen und eine Überschrift, die da lautete "Serving all five senses since 1853". Unter der Anzeige war noch die folgende URL zu lesen: www.vanvelsenmeer.org. |