Header
Feb 21 2016

Treffpunkt18, Fremdgehen69 und andere fakes

posted by J0hn.X3r Allgemein, Real-Life

Ahoi,

zur Abwechslung mal wieder ein Blogbeitrag, der in eine andere Richtung geht. Es ist gerade 2 Uhr, ich hock eigentlich mehr vor meinem Laptop, als vor dem Fernseher, aber dieser laeuft nebenbei.

Was “damals” noch total witzig war, ist es heute nicht mehr. Ich kann mich noch an all die ganzen “Werbespots” zur Nachstunde erinnern, kurze knackige reimende Telefonnummern die man anrufen sollte und nach xyz verlangen. Inzwischen gibts sowas ja sowas kaum noch im TV.

50% der Werbung kommt von Live-strip und die restliche Werbezeit teilen sich dann Seiten wie Treffpunkt18 und Fremdgehen69 (mit nem total krassen, nervigen Werbespot). Tja, ich wollte mir das ganze nun mal kurz anschauen, da erst letztens nen Kumpel zu mir kam, der auf so eine Seite “reingefallen” war und mir dann erzaehlt hatte, welche tolle Bekanntschaft er gemacht hat.

Nun gut, ich war erstaunt. Vorallem von Treffpunkt18 – ich hielt das eigentlich bisher fuer eine recht serioese Seite (serioes, im Sinne von Parship und wie die Konsorten heißen) durch die Werbung. Aber ein kurzer Blick ins Impressum hat gereicht:

HQ Entertainment Network GmbH & Co. KG
Johnstrasse 4
1150 Wien
Austria

Diese – in Wien(AT) sitzende – Firma betreibt einige Portale “dieser Art”. Das interessante ist, dass es wirklich viel Werbung im TV fuer den Quatsch gibt.

Wer sich fragt, wie sich solche Machenschaften uebers Wasser halten koennen, braucht nur einen Blick in die AGB werfen:

HQ setzt zur Animation und Unterhaltung der Nutzer professionelle Animateure und Operatoren ein, die im System nicht gesondert gekennzeichnet werden. Mit diesen sind keine realen Treffen möglich. Die Nutzer können ihnen lediglich Nachrichten innerhalb des Portals senden oder per SMS oder telefonisch mit ihnen in Kontakt treten. Nachrichten über das elektronische Postfach sind nur im Rahmen des kostenpflichtigen Dienstes möglich.

Quelle

Das heißt, dieser Dienst ist von Anfang bis Ende kostenpflichtig UND ich bezahle dafuer, verarscht zu werden.

Ich bin mir sicher, 95% der Leute, die sich auf solchen Portalen anmelden (unabhaengig der Altersgruppe, es kann jeden treffen) lesen das nicht und gehen von einer “echten” Bekanntschaft aus.

Und das ist traurig. Sehr traurig. Die meisten Leute die sich angemeldet haben erhoffen sich naemlich etwas “echtes”. Bei meinem Kumpel hat die Aufklaerung lange gedauert, er wollte es mir nicht glauben und hat Anfangs echt an der Sache festgehalten. Da ein “telefonischer Kontakt” gegen hohe Gebuehren moeglich ist, war er noch fester davon ueberzeugt, dass es echt sei.

Dieses Unternehmen oder allgemein solche Webseiten, spielen ruecksichtlos und ohne Scham mit den Gefuehlen anderer Menschen spielen, nur um daraus die Einnahmen zu maximieren – sowas geht gar nicht.

Man kann nichts dagegen tun, aber ich wuensche jedem, der “den passenden Deckel sucht”, solche Portale zu meiden – und finde es nebenbei eine riesige Frechheit, von der ProSiebenSat.1 Gruppe so etwas durch Werbung zu unterstuetzen.

Soviel von mir erstmal, als ein Wort zum Sonntag.

Feb 04 2016

WeLoveServers.net Review

posted by J0hn.X3r Allgemein, Real-Life

… wenn der Neukunde zum Spammer wird.

Erstmal ein Frohes Neues 2016 an alle – ich dachte mir, ich berichte euch heute mal von einem Vorfall, den ich so noch nicht erlebt hatte. Ich hatte schon einige Hoster getestet und Hosting Dienstleistungen in Anspruch genommen, aber sowas ist mir bei einem (eigentlich) serioesen Hoster noch nich passiert.

Wo fang ich am besten an? Zum Hoster selbst kann ich nicht viel sagen, die Domain wurde 2012 registriert, wie lange es den Hoster wirklich gibt, weiß ich nicht.

Es wird mit guenstigem VPS Hosting geworben, preislich gesehen war das auf den ersten Blick auch alles in Ordnung. 4$ fuer 15GB Space mit 500GB Traffic, 512MB RAM, unmanaged. Sie bieten auch mehrere Serverstandorte an, zwei im europaeischen Raum und einige in den USA.

Fuer den Preis wollte ich das ganze also mal testen – gewuenschten VPS in den Warenkorb gelegt und bestellt.

Innerhalb von wenigen Minuten erhielt ich eine Mail mit den Server Zugangsdaten – prima! Dachte ich.

Ich versuchte auf den Server zu connecten – verbindung fehlgeschlagen. Ich versuchte es weiter, mehrmals.. erfolglos.

Daraufhin dachte ich mir “hm kein Problem, installierst mal den Server neu, da er im Controlpanel sowieso kaum ressourcen nutzt” – ebenfalls erfolglos. Ich konnte den Server auch nicht anpingen.

Also oeffnete ich ein Support Ticket … prompt erhielt ich zurueck, dass die IP bei einem “network audit” wohl mehrere “Spam beschwerden” erhalten hat und momentan blacklisted ist. Es gehen “akute Spam Aktivitaeten von der IP raus” und ich solle bitte ueberpruefen, was ich auf dem Server installiert habe und denen meine Ergebnisse berichten.

Ich dachte erstmal, ich hoere/sehe nicht richtig, da die erhaltenen Zugangsdaten zum Server keine 10 minuten alt waren.

Ich kam mir ziemlich verarscht vor.. also sowas habe ich echt noch nie erlebt. Ich antwortete daher, was das soll und das ich den Server noch keine Stunde besitze – im Gegenteil, ich konnte mich noch kein einziges mal drauf verbinden.

Als Antwort kam eine Entschuldigung und das sie ein unban der IP Adresse nun beantragt haben.. darauhin meinte ich, dass sowas nicht sein kann und ich NICHT denke, dass die IP Adresse blacklisted ist. Zumindest nicht durch mich.

Als Antwort kam ein “soll ich die IP Adresse wechseln” – woraufhin ich mit einer Zustimmung antwortete.

Nun folgte ein “auf dem Node sind leider keine freien IP Adressen mehr verfuegbar”, er koenne meinen Server auf einem anderen node neu installieren… nun kam ich mir also schon wieder verarscht vor und meinte, dass er das dann eben tun soll.

Daraufhin meinte er, er haette nun den Server neuinstalliert (IP blieb die gleiche.. verarsche nummer 3 also inzwischen) und ich solle es noch einmal versuchen – wieder keine Verbindung. (Testen die sowas auch mal selbst?)

Nun kam der Hoehepunkt, nach meiner Schilderung, dass ich keine Verbindung zum Server aufbauen kann, kam in etwa folgende Antwort: “Wir haben eine Anfrage zum DC gesendet um das “null routing” der IP zu entfernen. Bitte versende keinen Spam ueber den Server! Der Traffic wird streng ueberwacht und sollte es wieder zum Versenden von Spam kommen, werden wir die IP wieder nullrouten”

Es wird mir also wieder einmal vorgeworfen, ich wuerde ueber den Server spam verschicken UND das ich dies bitte unterlassen sollte.. ich war bis jetzt kein einziges mal mit dem frisch erhaltenen Server verbunden! Das habe ich diesmal deutlichst auch ins Support Ticket geschrieben, mit der Bitte, dass er sich dieses doch bitte mal komplett durchlesen sollte! Also forderte ich mein Geld zurueck und das ich keine Lust mehr habe.

Der naechste hat sich dafuer entschuldigt und gefragt ob er den Server MAL WIEDER neu installieren soll, auf einem anderen Node. Ich lehnte genervt ab und habe denen einen Link zu ihrer refund policy ins ticket gesetzt – als antwort kam ein “unser DC ueberprueft den ausgang von spam genau und null routet dann die IP Adresse – soll ich ihren VPS auf einem anderen Node neu erstellen?”

Ich antwortete daraufhin, dass ich keinen Ersatz moechte, sondern mein Geld zurueck – es sind zwar nur 4$, aber es geht ums Prinzip!

Die Antwort daraufhin war so unverschaemt, dass ich sie hier 1:1 poste, jedoch uebersetzt:

“Wir haben Sie klar darueber informiert, dass Spam in unserem Netzwerk nicht erlaubt ist und das Ereignis hier passierte durch Spam. Daher ist das ein Problem mit Ihrem Server und nicht unsers.”

Koennt euch vorstellen, dass ich nach dieser Aussage haette schreien koennen. Wir holen uns den Grundgedanken vom Anfang zurueck “Neuen Server bestellt -> Logindaten erhalten -> keine Verbindung zum Server moeglich” und nun bin ich der Spammer, der vom DC verbannt wurde.

Der restliche Gespraechsverlauf ist recht uninteressant.. ich habe mehrfach mein Geld zurueckgefordert und er hat mir mehrfach eine neuinstallation auf einem anderen Node angeboten.

So etwas inkompetentes! Ein schrecklich dummer Verein! Vor allem, weil 4(!) Leute von denen mit meinem Support Ticket beschaeftigt waren.

Ich weiß daher nicht was sie “lieben”, aber Kunden sinds nicht.

Nov 19 2015

Kommt nichts mehr..?

posted by J0hn.X3r Allgemein

Ahoi,

ich dachte ich fange meinen Blogeintrag mit dem letzten Kommentar an, der hier gepostet wurde. Es ist wirklich schon knapp 11 Monate her, seit meinem letzten Blogeintrag. Das ist sehr schade. Ich hatte mir viel vorgenommen.

Daher soll das kein “hätte”, “wollte”, “sollte” Beitrag werden, sondern ein kleines Lebenszeichen. Ich moechte nur kurz schildern, was sich bei mir in der Zeit getan hat und wo die Aktivitaet geblieben ist…

Anfang Januar 2015 dachte ich mir, ich habe nun etwas mehr Zeit uebrig und moechte meinen Blog relaunchen. Da der ein oder andere Beitrag eventuell doch ganz nuetzlich war. Doch schon ab Mitte Januar aenderte sich eigentlich fast alles. Ich habe nun zwei Jobs und bin in eine neue Stadt gezogen – das heißt, mir fehlt unter der Woche schon einmal viel Zeit… hinzu kommt, dass mein Privatleben nun auch noch etwas Zeit moechte, was damals.. naja nur bedingt der Fall war 😀 Wie dem auch sei, Zeit ist zum Großteil der Hauptfaktor. Mein Wochenplan ist stets gut gefuellt und wenn ich dann mal etwas Zeit habe, brauche ich die um “organisatorisches” zu klaeren und auf Free-Hack vorbei zu schauen.

Ich habe momentan nicht viel Zeit uebrig, um mich “naeher” mit der Thematik zu beschaeftigen oder interessante Dinge zu schreiben oder zu posten. Ich hatte mir damals sehr viel Zeit fuer meine Blogeintraege genommen.. ich moechte nichts posten, was entweder langweilig oder stumpf ist, sondern die Beitraege sollen (wenigstens) auch ein bisschen Qualitaet haben… oder zumindest einen Wiedererkennungswert, sodass man sofort merkt “aha, ja das ist von dem”.

Wie dem auch sei, das sollte wie gesagt weder eine Rechtfertigung, noch ein großes “Bla bla” werden, sondern einfach ein Lebenszeichen mit einer kleinen Erklaerung dahinter. Eventuell waere “Zeit” ein treffenderer Titel fuer diesen Beitrag gewesen.

Ich werde mir Muehe geben, meinen Blog mal wieder etwas besser zu fuellen und mal wieder oefter was zu schreiben. Allein schon weil mir sonst das Geld zu schade ist. Was ich mir momentan vorstellen koennte, waere eine Art “Monatsuebersicht” (angelehnt an meine “Wochenuebersichten” von 2010), in der ich dann Dinge zusammenfasse, die ich im jeweiligen Monat besonders interessant fand. Eventuell mach ich auch etwas an meinem Theme, da es nicht ganz responsive ist und die meisten heutzutage sowieso mit dem Smartphone unterwegs sind.

So viel von mir erstmal, bald ist wieder Weihnachten, ich wuensch euch was.

Jan 15 2015

RedPhone – Verschluesselte Gespraeche

posted by J0hn.X3r Tutorials

Guten Abend,

heute moechte ich euch noch ein “Programm” vorstellen, mit dem ihr “sicherer” unterwegs sein koennt. Eventuell kennt man das aus irgendwelchen 1337 Hackerfilmen, die Leute rufen andere an und sind “total anonym” und haben im besten Fall das Gespraech verschluesselt, welches nicht mitgehoert/abgehoert werden kann. Verschluesselung ist in der heutigen Zeit das A und O. NSA und Co hatten bereits erfolgreich demonstriert, dass sie gegen “Verschluesselungen machtlos” sind, sei es das simple Off The Record Messaging oder PGP Verschluesselte Mails. Die Tage folgt dazu noch ein Beitrag.

Wie dem auch sei, heute moechte ich euch RedPhone vorstellen.

Was ist RedPhone?

RedPhone ist eine App fuer euer Smartphone (momentan nur Android soweit ich weiß – “Signal” ist eine Alternative fuer iPhone), mit der es euch moeglich ist, verschluesselte Anrufe zu taetigen – d.h. eure Anrufe koennen nicht mitgehoert/abgehoert werden – und das kostenlos!

Wer hat RedPhone entwickelt?

RedPhone ist ein Projekt von whispersystems, deren Entwickler Moxie Marlinspikes bei dem einen oder anderen wohl etwas bekannter ist. Er betreibt das Projekt CloudCracker mit dem es moeglich ist, verschiedene Verschluesselungsarten (z.b. WPA/MD5/…) in “der Cloud” zu cracken.

Wie funktioniert RedPhone?

Die Funktionsweise ist recht einfach, RedPhone selbst ist momentan nur fuer Android verfuegbar und im PlayStore zum kostenlosen Download verfuegbar. Nach der Installation muesst ihr eure Handynummer angeben, an diese ein verzifierungscode gesendet wird – danach wird die App aktiviert. Im besten Fall seht ihr in euere Kontaktliste nun “importierte Kontakte” bzw Kontakte, welche ebenfalls RedPhone benutzen und koennt diese kostenlos und verschluesselt anrufen!

Funktioniert das auch wirklich?

Die ganze App ist noch im Beta Stadium, Bugs und Co gehoeren somit dazu – ich kann dazu nur sagen, dass es im grunde genommen funktioniert. Ueber Sprachqualitaet und Verbindungsabbrueche kann man streiten, aber solange das Grundprinzip erhalten bleibt, finde ich, ist das eine sehr feine Sache.

Probierts aus, es ist kostenlos.. und wer wirklich “sensible” Anrufe hat, oder Dinge mit jemandem bespricht die wirklich _niemandem_ was angehen, der sollte die App aufjedenfall mal testen!

Jan 12 2015

TrueCrypt 7.1a Download und VeraCrypt als Alternative

posted by J0hn.X3r Allgemein

Ahoi,

da TrueCrypt seine Entwicklung im Mai 2014 eingestellt hat (mit der Begruendung es sei unsicher und man sollte zu BitLocker wechseln, bla bla), ist es schwieriger geworden, das letzte vernuenftige Release runterzuladen.

Die 7.2er funktioniert – soweit ich weiß, habs nich getestet – nur stark eingeschraenkt und ist mehr “zum Entschluesseln” als zum Verschluesseln da.

Wer meiner Wenigkeit vertraut, kann sich das letzte “richtige” Release hier runterladen:
*klick*

Die Pruefsummen gibts hier:
*klick*

SHA1
=======
[...]
7689d038c76bd1df695d295c026961e50e4a62ea  TrueCrypt Setup 7.1a.exe

Es gibt ein Projekt, indem versucht wird, TrueCrypt zu analysieren und dessen Sicherheit zu testen, Infos dazu bekommt ihr hier.

Dort konnte nachgewiesen werden, dass sich kein Backdoor oder aehnliches im Source Code befindet und es dementsprechend noch als sehr sicher gilt.

Ich benutze TrueCrypt nach wie vor – auch die gepostete Version und kann nicht sagen, dass TrueCrypt unsicher ist, vorausgesetzt man verwendet auch ein starkes/sicheres Passwort.

Bin aber auch auf ein Projekt gestoßen, dem wohl eine aehnlich gute Zukunft vorher gesagt wird, naemlich VeraCrypt ( -> *klick* )

VeraCrypt basiert auf TrueCrypt, gibt aber an, eine Nummer “besser” zu sein – in jeglicher Hinsicht.

Was bietet VeraCrypt?

Dazu ein Zitat von der offiziellen Seite:

VeraCrypt adds enhanced security to the algorithms used for system and partitions encryption making it immune to new developments in brute-force attacks.
VeraCrypt also solves many vulnerabilities and security issues found in TrueCrypt. The following post describes parts of the major enhancements and corrections done so far: https://veracrypt.codeplex.com/discussions/569777#PostContent_1313325

As an example, when the system partition is encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with 1000 iterations whereas in VeraCrypt we use 327661. And for standard containers and other partitions, TrueCrypt uses at most 2000 iterations but VeraCrypt uses 655331 for RIPEMD160 and 500000 iterations for SHA-2 and Whirlpool.

This enhanced security adds some delay only to the opening of encrypted partitions without any performance impact to the application use phase. This is acceptable to the legitimate owner but it makes it much harder for an attacker to gain access to the encrypted data.

Starting from version 1.0f, VeraCrypt can load TrueCrypt volume. It also offers the possibility to convert TrueCrypt containers and non-system partitions to VeraCrypt format.

UPDATE January 5th 2015 : Support of the old TrueCrypt 6.0 has been included in VeraCrypt 1.0f-1, which is a minor update of VeraCrypt 1.0f.

UPDATE December 30th 2014 : VeraCrypt 1.0f is out with many new features and enhancements. The most notable ones are the support of mounting and converting TrueCrypt volumes, and the speedup of the mounting process through the manual selection of the correct PRF algorithm.

Quelle: https://veracrypt.codeplex.com/

Somit ist es seit der 1.0f moeglich auch TrueCrypt verschluesselte Datentraeger/Dateien zu mounten.
VeraCrypt hat zusaetzlich noch den Verschluesselungsalgorithmus erweitert, was zwar laengere Zeit beim Mounten in Anspruch nimmt, aber zusaetzlich nen Stueck zur Sicherheit gegen Brute Force Attacken beitragen soll.

Was gibts noch zu sagen? Es aehnelt vom Design her stark an TrueCrypt, was es fuer bisherige Nutzer wohl einfacher fuern Umstieg machen soll.

Bin von dem Projekt beeindruckt und habe es auch installiert – sollte ich mal mein System neu aufsetzen, werde ich auf meinem Windows PC sicher mal VeraCrypt testen.

Bleibt also zu sagen, dass TrueCrypt (vorallem die Version 7.1a) nach wie vor als sicher gilt, es aber auch schon die ein oder andere wirklich gute Alternative gibt, an der aktiv weiterentwickelt wird.