I Will NEVER TEXT Again After Seeing THIS!! auf CLICK HERE TO SEE.

oder aber auch

OMG… Look What This 6 YEAR OLD found in Her HAPPY MEAL from McDonalds! (NO SURVEYS) auf CLICK HERE TO SEE.

und

This American GUY must be Stoned to Death for doing this to a GIRL (NO SURVEYS)! ◄██… auf CLICK HERE TO SEE.

Als ich mir diese Seiten anschauen wollte, kam ich auf eine Seite, die optisch das Facebook-Layout imitierte und auch eine ähnliche URL besaß. Hier war ein Video, dass ich starten wollte. Zumindest sah es aus wie ein Video, aber ein Klick brachte nichts – ich dachte es liegt mal wieder am Flashplugin in Linux und hab die Sache wieder vergessen.
Jedoch stellte ich später fest, dass ich für diese Seiten scheinbar unbemerkt auch ein Like vergeben habe. So scheinen sich diese Spam-Links wohl als eine Art Mischung aus Phising und Cross Site Request Forgery über meine Freundesliste zu replizieren.

Ärgerliche Angelegenheit, bin sonst noch nie in solche Fallen getappt. Aber bei Facebook hab ich natürlich auch nix böses erwartet.

Update:

Also ich bin wohl nicht der einzige dem es aufgefallen ist. Dieser Blog bezeichnet es als Facebook-Wurm. Hierbei ist es vielleicht noch sinnvoll anzumerken, dass man bei “Mein Profil bearbeiten” -> “Gefällt mir und Interessen” die entsprechenden Einträge wieder entfernen sollte – zum einen weils unschön aussieht, zum anderen, um die Verbreitung der Links zu unterbinden.

Sag mal bitte allen leuten in deiner liste, dass sie den kontakt mit Rebbi nicht annehmen sollen! das ist ein Virus (über svz) der zerstört die ganze festplatte und zieht sich die daten runter, wenn ihn einer deiner kontakte erwischt, bist du auch betroffen, weil er sich durch die liste frisst! also kopier das und schick es an alle Bitte mach das

Selbst in Zeiten modernster Virenscanner ist unsere heutige Technik no so beschränkt, dass wir Virus Meldungen immer noch über persönliche Nachrichten im Studi-Vz verbreiten müssen. Und Studi-Vz streitet natürlich ab, dass solche Malware über ihre Seite kursiert, was ne Verschwörung

Aber im Ernst, diese Meldungen kommen ja immer wieder vor,  aber eine Meldung, die mich vor Rebbi dem Virus warnt, hatte ich schon einmal vor ein paar Jahren im Studi-Vz. Mich würd nur interessieren, was hat Rebbi von den Toten auferstehen lassen? Ich mein, war jemand so unkreativ einen neuen Kettenbrief zu erstellen und hat deshalb einen alten einfach als Vorlage genommen? Oder war da jemand, der nach 2 Jahren mal seine Nachrichten gelesen hat, die Virus-Warnung sieht und sich gedacht hat, ich schicks mal weiter, vielleicht gibts den ja immer noch?

Naja, eine schnelle Suche beim Hoax-Service der TU-Berlin ergab, dass der Rebbi-Hoax wohl im Februar 2007 seinen Ursprung im Icq hatte. Und gegen Ende letzten Jahres hat er sich wohl einen Account bei StudiVz zugelegt.. oder SchülerVz. Übrigens eine Suche bei Studi-Vz nach Rebbi ergab 60 Treffer. Aber keiner davon sah aus wie ein Virus.

update:

ok, wie vermutet wars ein Aprilscherz… und sooo lustig fand ichs nu nich

Denn auch auf meinem alten Rechner im Keller, den ich als kleinen Webspace und ähnliches nutze, habe ich meine Festplatte mit dm-crypt verschlüsselt – wie sich das  als revolutionärer aufsässiger verantwortungsbewusster Staatsfeind Benutzer  gehört (Anleitungen dazu gibts ja genug im Internet). Nur das Passwort, ca. 12stelliger Salat aus Buchstaben und Zahlen – wies immer sein sollte im Idealfall -, hab ich innerhalb eines halben Jahres höchstens 3 oder 4 mal benutzt, so konnte ich mich dann beim nächsten Reboot leider nicht mehr erinnern.

Der Zettel, auf dem ich es mir notiert hatte – ich wusste es gab ihn mal – konnte ich besten Willens nicht wiederfinden, vermutlich war er schon vor langer Zeit in den Papierkorb gelandet. Nach reichlich Überlegen und Grübeln (was sich über einige Tage hinstrecke) war ich mir aber sicher, den Großteil des Passworts bis auf ein paar Ziffern am Ende wieder zu wissen. Aber bis hier hin Sackgasse. Naja, und ein Hacker bin ich auch nicht, also mal das Web nach möglichen Tools abgesucht – Fehlanzeige. Also selber mal rumbrobiert. Die Lösung war aber mehr als einfach, schon allein weil cryptsetup das Passwort über eine einfache Pipe aktzeptiert:

#!/bin/bash
known="bekannterTeil"
for i in $(seq 9999); do
    passtest=$known$i
    echo Trying $passtest
    echo $passtest | cryptsetup luksOpen /dev/hda8 hda8_crypt
    if [ -n "$(ls /dev/mapper/ | grep crypt)" ]
        then    echo Passwort gefunden! $passtest
                exit 0
    fi
done

Das Skript hängt einfach nur an den bekannten Teil des Passworts eine Nummer an und testet das Passwort, falls nach dem Aufruf ein Mapper-Device mit “crypt” existiert sind wir fertig – und sonst halt alle Nummern ausprobieren. Bestimmt kann mans noch schöner machen, oder mit Python oder Perl ganz tolle RegExp durchprobieren und nicht einfach nur statisch ne Nummer dranhängen. Aber mir gehts hier nich drum, irgendwelche Hackertools zu basteln. Für mich hats gereicht, nach ein paar wenigen Stunden (cryptsetup erlaubt bei Standardeinstellung nur 1 Versuch pro Sekunde) hatte ich mein Passwort wieder .

Und was lernt man aus der Geschichte?

1. Selbst die beste Verschlüsselung nützt einem nichts, wenn man ein schwaches Passwort hat, schon allein die Kenntnis von der Länge und Teilen des Passworts und /oder genutzte Zeichen ermöglichen eine sehr schnelle Brute-Force suche! Gleiches gilt natürlich für Passwörter, die im Duden stehen. Und Passwort-Generatoren gibts ja genug im Internet…
2. Die alte Idee vom Verbot von Hacker-Tools würde dazu führen, dass die oben genannte Schleife ebenso illegal ist. Lächerlich
3. In Zukunft werd ich mehr drauf achten, mir wichtige Passwörter an einem sicheren Ort zu notieren.