Es gab da mal von meiner Informatikfakultät so ein nettes Tool um sich einen hübschen Stundenplan erstellen zu lassen. Dieses Tool ist aber auch in die Jahre gekommen und abgesehen von der doch etwas hässlichen Java GUI, mag es niemanden der nicht latin1 mit ihm spricht und verhaut daher mal eben alle Umlaute im späteren Postscript-Dokument, was wenn man es denn wirklich benutzen will zu ellenlangen iconv-Orgien führt.
Da bei mir so Java-GUIs ohnehin immer rumzicken, hab ich also kurzer Hand ein jython Programm geschrieben, das den alten Code der Anwendung benutzt, aber auf die gesamte GUI verzichtet. Im Ergebnis steht ein Programm, das nun den iso8859-1 Schmarn ad acta legt und fix auf der Konsole das gewünschte Ergebnis liefert.
$ ./s2ps.py > stundenplan.ps
--- Montag
08:30 - 10:00 Data Mining # MI 00.13.009A
14:45 - 15:15 Arabisch C1 # Sprachlabor Innenstadt
--- Dienstag
08:15 - 09:45 Effiziente Algorithmen # MI 00.13.009A
10:15 - 11:45 Bildverstehen # MI 00.13.009A
12:00 - 14:00 EA Übung # MI 03.11.018
--- Mittwoch
10:15 - 11:45 Sprachenbasierte Sicherheit # MI 02.07.014
12:15 - 13:45 Bildverstehen # MI 00.13.009A
14:15 - 15:45 Netzsicherheit # MI 00.08.038
--- Donnerstag
08:15 - 09:45 Effiziente Algorithmen # MI 00.13.009A
10:00 - 11:00 Übung Sprachenbasierte Sicherheit # MI 02.07.014
14:00 - 16:00 Rechnernetze Tutor # OE 1.27
--- Freitag
12:00 - 13:30 Arabisch C1
$ pstopdf stundenplan.ps
Das Ergebnis seht ihr auf der rechten Seite.
Das Tool liegt im git zum Download:
The result of my Black Hat presentation on the current protection measures in place in current linux boxes would be that systems are overall very secure as NX/DEP is deployed in every process without any exceptions, ASLR is in place by default and Stack Canary values additionaly add to security.
However, there are still some flaws that are yet to be fixed:
- ASLR should be implemented for every page in memory. Currently exceptions are code and data sections of binaries and also the vsyscall page.
- The kernel random number generator used for randomizations in ASLR is not as random as one expects, which allows to bypass ASLR protection, if an attacker already has local access to the system. Details on the vulnerability can be found in the according paper: Bypassing ASLR by predicting a process’ randomization
- Stack Cookies (and this seems to be consistant with other implementations of SSP) do only protect char[] buffers with a size greater 4. There is no protection for e.g. short, int or void * buffers, which might allow some vulnerabilities to be exploitable, because SSP is not applied to the function unless the conditions stated above apply.
- As the master canary is initialized in major Linux OS with the poor man’s randomization patch, which mainly relies on ASLR to supply randomness, an attacker can also bypass this protection using the ASLR bypassing described above.
More details can be found in either:
Auch wenn die Verhandlungen über ein Semesterticket in München wieder aufgenommen wurden, sind Ergebnisse nach dem plötzlichen Abbruch der Verhandlungen im letzten Jahr noch in weiter ferne. Grund genug also, das Pilotprojekt SemesterTicketGeneratR zu verlängern und für das Sommersemester 2009 zu rüsten. Damit auch diejenigen nicht zu kurz kommen, die an der LMU studieren, gibt es sogar eine LMU-Ausgabe des Semestertickets, wenn man als Ausbildungsstätte LMU angibt.
Es gab da mal von meiner Informatikfakultät so ein nettes Tool um sich einen hübschen Stundenplan erstellen zu lassen. Dieses Tool ist aber auch in die Jahre gekommen und abgesehen von der doch etwas hässlichen Java GUI, mag es niemanden der nicht latin1 mit ihm spricht und verhaut daher mal eben alle Umlaute im späteren Postscript-Dokument, was wenn man es denn wirklich benutzen will zu ellenlangen iconv-Orgien führt.