Das Filmfest hat dieses Jahr irgendwie schneller angefangen als ich schauen konnte, drum ist auch dieses Posting leicht verspätet. Dieses Jahr trete ich etwas kürzer und habe mir nur für 17 Filme Karten besorgt. Wenn jemand in einen gleichen Film geht kann er sich ja noch melden ;-)

Am Wochenende fängt wieder das allseits beliebte Münchner Filmfest an. Und um euch alle schonmal schön neidisch zu machen, seht her was ich dieses Jahr bekommen habe:

Ja, es lohnt sich tatsächlich beim Gewinnspiel mitzumachen :-)

– Sec

Gerade beim Weg in die S-Bahn gesehen:

(Einsames Buch, 48°8'03.42"N,11°34'56.99"E)

... jetzt wenn es noch ein interessanter Titel gewesen wäre.

– Sec

(Handtuch beim Mittagessen, 48°7'42.86"N,11°35'52.03"E)

Hoffe, ihr habt es nicht vergessen, und führt es brav aus.

– Sec

Just now I tried to update the (sadly neglected) FreeBSD installation on my Laptop. One of the bigger changes was the upgrade to Xorg 7.4 which introduces hald. Hald, for those who don't know, is the Hardware Abstraction Layer Daemon, a linuxy invention which spreads it tentacles throughout your system to fix problems FreeBSD didn't yet have – But I digress.

After starting the freshly updated X server you will be in for a treat. It starts all right, but nothing will work, neither keyboard nor mouse. Not even Ctrl+Alt+Backspace.

Ok. Ctrl+Alt+F1 works. So get back to the console and kill the X server.

The problem is, Xorg now tries to use hald by default and if it isn't running, you loose.

The quick fix is to add the following to your xorg.conf:

 Section ServerFlags
 Option AutoAddDevices off
 EndSection

But if you want to do it the new way...
– Sec

Just now I noticed that with flashblock enabled, I can't view any videos on the sevenload.com web page.

Some debugging later I found out that they have a tag in their CSS which explicitly sets that very <div> that flashblock internally creates to visibility: hidden;.

I am unsure whether this is just some unlucky circumstance or an explicit attempt to annoy users of the flashblock extension. Nonetheless, this needs to be fixed.

So the obvious thing (after filing a quick bug report with the flashblock people) was to fix that problem. Greasemonkey to the rescue!

Have fun with the resulting small flashblock-fix userscript.

– Sec

P.S.: (15.3.09) the new unstable version of flashblock already contains a fix for that problem. Hooray for quick reaction time.

A few days ago knarf noticed something strange on one of his boxes:

netstat showed an open socket, but both sockstat or lsof didn't list it at all.

A quick test with telnet confirmed that the port was indeed open.

The port number did not ring a bell - although it was below 1024 (so it was a privileged port) - it was not listed in /etc/services.

Trying to find out where that socket came from we discussed a few ideas - starting with the obvious: A rootkit. It would be unlikely that both sockstat and lsof would be patched to skip that socket and netstat would've been forgotten, but it was still an option.

The second idea was, that lsof/sockstat didn't show anything, because there was no process there. – As the socket did react to connection attempts, this meant that the kernel had to be involved.

Checking the system include headers, the struct socket was quickly located and contained an interesting looking field named so_upcall.

To look at the socket in question, we first need to find it in memory. The easiest way is to get netstat -A. This command gives us the address of the tcp control block (tcpcb) for tcp sockets or the address of the internet protocol control block (inpcb) for udp sockets:

netstat -Aan | grep ' \*\.portno .* LISTEN'

The tcpcb structure contains a pointer to the inpcb structure which in turn has a pointer to the stuct socket which we're currently interested in.

So, lets fire up kgdb and look at the so_upcall element:

p ((struct tcpcb*)0xc1a6bde0)->t_inpcb->inp_socket->so_upcall (for tcp)
p ((struct inpcb*)0xc1a6bde0)->inp_socket->so_upcall (for udp)

A quick test on the ssh socket returned:

$1 = (void (*)(struct socket *, void *, int)) 0

Which is the expected result, as there is an actual process listening, and no upcall necessary.

Our mysterious socket returned:

$2 = (void (*)(struct socket *, void *, int)) 0xc0974250 <svc_vc_soupcall>

So now we can be sure that it is the kernel listening here.

Another quick search for the svc_vc_soupcall function returns a hit in rpc/svc_vc.c pointing us to the source of the socket: The sunrpc subsystem.

And 'lo and behold, a call of rpcinfo listed the strange socket as belonging to nlockmgr, the locking manager for nfs.

Case closed.

- Sec

Im Rahmen eines kleinen Seitenprojekts auf dem diesjährigen CCC Congress habe ich mit monoalphabetischen Subsitutionschiffren rumgespielt. Und weil das per hand immer so nervig ist, ist im Laufe des Abends erstmal ein kleines (Curses-basiertes) Perlscript entstanden. Neben den offensichtlichen Features Zeichen interaktiv zu ersetzen (und wieder zu löschen) und dem Anzeigen der Frequenzverteilung kann es auch intelligent in einem Wörterbuch suchen.

Gestern habe ich bei Bruce Schneier im Blog den Hinweis zu einem Rätsel auf der FBI-Webseite gefunden, und auch dieses war in wenigen Sekunden gelöst.

Falls noch andere Leute gerne mit so etwas spielen, veröffentliche ich hier den gegenwärtigen Stand des Perlscripts. Schönheitswettbewerbe wird es wohl nicht gewinnen, aber es erfüllt seinen Zweck, und perlcritic meckert auch nur 2 Dinge an ;)

 -rwxr-xr-x  1 sec  sec  7279 Jan  8 23:40 cwb.pl

Für Patches und Verbesserungen bin ich natürlich jederzeit zu haben, viel Zeit werde ich aber wohl nicht mehr investieren.

Achja, Qwereqq Tyei ipofy igwhj: Mpi Qnytm nteiif zyejyj Oxtzyjiprpf

– Sec

P.S.: Wenn das Perlscript nicht läuft, ist dein Fenster zu klein %-)

Hier ein kleines Rätsel für euch, aber ich warne euch, es geht um Windows.

Um Live mitzumachen braucht ihr nur ein "cmd"-Fenster, cygwin oder ähnliches wird nicht gebraucht. Los, mitmachen! :)

Erst brauchen wir ein paar Testfiles. Die sollen Logfiles simulieren:

Wenn wir uns nun anschauen wie das aussieht, ist alles wie erwartet:

Jetzt kommt der spannende Teil. Wir wollen nach alten Logfiles suchen, und dann passiert das:

Das ganze gibts auch als Batchfile zum ausprobieren hier.

Wer hat eine Idee?

– Sec

The Greasemonkey-script to insert xkcds image title tags broke again, and needed another update. Looks like Randall Munroe is actively trying to make my life harder than it already is :).

So here is an enhanced version: xkcd-titles.v3 - I hope it works for you :)

– Sec

Weil das Thema gestern auf der Tafelrunde diskutiert wurde, wollte ich es hier auch noch schnell dokumentieren:

Die Click-Orgie des Firefox3 bei schlechten (z.B. self-signed) SSL-Zertifikaten lässt sich zum Glück ein bisschen verkürzen - Man muss nur wissen, wie. Man rufe die "about:config"-Seite auf, und setze die Variable

 browser.xul.error_pages.expert_bad_cert

auf true - dann sinds nur noch 3 Clicks für die nächsten Fälle.

Nun ist es endlich soweit, das Filmfest 2008 kann beginnen. Dieses Jahr hab ich mir für 25 Filme Karten gekauft. Wenn jemand in einen gleichen Film geht, kann er mir ja eine Mail schreiben, dann treffen wir uns ;)

Heute Abend sah ich in der S-Bahn dieses Schild:

(Rosenheimer Platz, direkt neben der Rolltreppe)

Ob das vielleicht damit zusammenhängt?

Die Entscheidung heute war wohl nicht die Schlechtestmögliche (glauben zumindest der CCC und Spiegel-Online), Fakt bleibt aber, dass sie kommen wird, die Online-Durchsuchung.

Und wenn ich dann sowas lesen muss:

Dann Spricht mir das Schild doch aus der Seele.

– Sec

Ich hab mich gerade mal wieder an den Neigungssensor in meinem Arbeitslaptop (einem Thinkpad T43) erinnert, und wollte den mal unter Windows auslesen.

Mit etwas googlen habe ich zwar ein paar Schnipsel sowie einen Pascal-Quellcode gefunden, aber nichts schönes fertiges. Grundsätzlich ist das nicht wirklich schwer, man muss nämlich nur die ShockproofGetAccelerometerData -Funktion in der von IBM mitgelieferten, aber leider undokumentierten Sensor.dll aufrufen.

Details und Sourcecode

Jetzt wenn ich noch wüsste was ich eigentlich damit wollte… :-)

– Sec

Vor ca. einem Monat habe ich hier einen Link zu einem Greasemonkey-Script geposted, um das Title-Attribut von xkcd-Comics lesbar zu machen.

Ich weiss ja nicht, ob das außer mir noch jemand verwendet, aber für die, die es tun:

Eine kleine Änderung der Webseite machte ein Update des Scripts notwendig. Das Resultat xkcd-titles.v2 dürfte jetzt sogar etwas robuster gegen weitere Seitenänderungen sein.

– Sec