Rückblick auf die letzten Monate [In eigener Sache]

Es ist einiges an Zeit vergangen, seit wir den letzten Blogpost veröffentlich haben. Damit nicht einfach eine Lücke entsteht wollen wir an dieser Stelle kurz ein Statusupdate bzw. eine Übersicht über die Ereignisse der letzten Monate geben.

Internetwache ist inzwischen über 2 Jahre alt. Wir haben über 600 Follower auf Twitter @internetwache. Wir bedanken uns ganz herzlich bei allen Lesern und Unterstützern und hoffen auf weitere erfreuliche Whitehacking-Jahre.

Sonstige erwähnenswerte Ereignisse:

Zwischenzeitige Mitarbeit am Lanaru.com-Projekt

Mitte April wurden wir vom Lanaru-Team gebeten an deren Projekt teilzunehmen. Dieses Projekt hatte das Ziel, ähnlich wie Bugcrowd oder Crowdcurity, eine crowdsourced Security-Plattform für den Bereich NL, BE, DE zu werden und verschlang einen Großteil der Zeit. Uns beiden hat die Mitarbeit mit den noch relativ jungen Mitbestreitern wirklich Spaß gemacht und wir haben eine Menge gelernt. Leider führten wiederholte Verzögerungen und team-interne Meinungsverschiedenheiten zum Wiederaustritt der Internetwache aus dem Projekt. Wir wünschen dem Projekt dennoch weiterhin viel Erfolg und freuen uns sehr darauf als Tester dort aufgenommen zu werden.

Projektarbeit

Zur Zeit arbeitet Tim an einem Projekt, welches sich auch im Bereich Security befindet. Allerdings steht zu diesem Zeitpunkt noch kein klares Konzept, sobald es Neuigkeiten dazu gibt informieren wir euch aber in einem Blogpost auf Internetwache darüber.

Ablauf unseres Wildcard-SSL-Zertfikates und Wechsel auf ein Selbstsigniertes.

Anfang August ist unser Wildcard-SSL-Zertifikat nach einem Jahr abgelaufen. Wir hatten dieses damals während einer Aktion für 10$ erhalten. Leider sind diese Zertfikate mit ~100+€/Jahr nicht ganz günstig. Da wir hauptsächlich nur statische HTML-Dateien anbieten und bis auf die Verbindungsinformationen (URLs, Cookies) keine persönlichen Daten verarbeitet werden, haben wir uns entschieden ein selbstsigniertes Zertifikat anzubieten.

Es kann daher zu SSL-Warnungen kommen, wenn man die HTTPS-Variante aufruft.

1
2
3
4
5
6
7

SHA-256-Fingerabdruck
57 0A DC C8 B2 50 DE E8 66 AB 92 F8 FD E8 60 CC
C4 39 86 3F A8 F2 84 7F 73 EB 02 4A 32 B2 03 48

SHA-1-Fingerabdruck
F8 E7 6B 1F 5E 47 85 E7 4D 46 F3 26 82 6E 13 0D
62 F4 71 1D

Der Blog wird standardmäßig per http im Klartext ausgeliefert. Möchte man auf die sichere Verbindung wechseln, so muss man selbst die Seite per https:// ansurfen.

Release eines Encoding-Tools auf GitHub

Während dem Spanienurlaub von Sebastian kam ihm ein Gedanke eine kleine Webapplikation zu entwickeln. Diese sollte die Anwendung von verschiedenen En-/Decoding-Algorithmen an einem Punkt vereinen und erleichtern. Nach ein wenig gefrickeln ist etwas ansehliches (Nein, nicht der Code :P) draus geworden. Quelltext und Demo sind oben verlinkt - viel Spaß damit!

Hacking auf Bugcrowd, um in den Top10 zu bleiben

Die Konkurrenz schläft - im Gegensatz zu uns - nicht ;). Damit wir uns in der Bugcrowd-Top10 halten können, mussten wir hier nochmal Hand anlegen. Bisher ergab die Validierung einen Haufen Duplikate, jedoch waren auch einige (interessante) valide Lücken dabei. Wir hoffen auch 2014 uns einen Platz in den Top 10 zu sichern!

Veröffentlichung einer Linkliste

Während dem Polenurlaub von Sebastian kam ihm ein weiterer Gedanke: Eine Linkliste mit einigen (vielen) Links zu interessanten Ressourcen, welche fürs Hacking gebraucht werden könnten. Häufig stolpert man über Twitter auf den einen oder anderen nützlichen Beitrag bzw. entdeckt ein neues Tool. Damit man viele interessante Links an einem Ort zusammenfassen und diese mit anderen Personen teilen, haben wir nun die Linkliste eingerichtet. Ergänzungen der Liste sind ausdrücklich erwünscht, schickt uns einfach einen Tweet (@internetwache) oder eine Email, wenn ihr einen lesenswerten Blog findet, oder ähnliches.

Sonstige Teilnahme an Bug Bounties

Auch wenn einige von uns lange nichts mehr gehört haben waren wir natürlich weiter im Netz unterwegs und haben uns auch an einigen Bug Bounties beteiligt und sogar Rewards erhalten. Wir waren besonders auf HackerOne aktiv. Da bei HackerOne viele Reports öffentlich einsehbar sind schreiben wir auch nicht mehr, wie zu Anfang der Internetwache, für jede Lücke einen Post. Wenn ihr euch also für die Lücken interessiert werft einfach mal einen Blick in unseren HackerOne-Account oder sucht auf der H1 Disclosure Timeline nach “Internetwache”. Leider sind dort nur die “langweiligen” Lücken zu finden. Die spannenden werden ungern seitens der Seitenbetreiber veröffentlicht :(

In eigener Sache

Sebastian befindet sich nun im 5 Semester seines Informatikstudiums und hackt hier und da mal was ;) Er war stark mit seinem Studium ausgelastet und war deshalb zuletzt leider nicht so aktiv in Sachen Whitehacking.

Außerdem arbeite ich ab und zu an nicht-security Projekten. Mein Twitter

Tim hat in der Zwischenzeit seine Hochschulreife erlangt und ein Studium im Bereich Wirtschaftsinformatik begonnen.

Nach dem Abitur habe ich einen Trip nach Malaysia und Kambodscha unternommen und einiges an kulturellen Eindrücken und Erfahrungen sammeln dürfen. In Kualar Lumpur habe ich auch @Yappare getroffen, einen Top-Hunter von Bugcrowd - es war wirklich nett mit ihm zu sprechen und ich wünsche ihm alles Gute! Außerdem habe ich nach der anstregenden Abiturzeit und einigen privaten Zwischenfällen nun wieder Kraft für neue Ideen und Projekt, mal schauen, was sich daraus noch so ergibt. ;) Neuste Projekte sind immer unter meiner Website oder meinem Twitter, @TimPhSchaefers zu finden.

Viele Grüße, das Team der Internetwache.org