Der goldene facepalm des tages đź¤¦â€Ťâ™‚️️

Na, wie wäre es mit einer groĂźen pulle security-schlangenöl, zum beispiel S-protect, der hokus-pokus-schlangenöl-webbrauser der spaĂźkassen, mit dem man angeblich sogar auf einem von schadsoftwäjhr ĂĽbernommenen kompjuter „sicheres“ onlein-bänking machen können soll. Was rauskommt, wenn man solche vollmundigen versprechungen einmal etwas genauer abklopft, entspricht weitgehend dem, was man sich auch vorher schon gedacht hat.

Hinter S-Protect steckte anscheinend keine revolutionäre Schutztechnologie, sondern vielmehr der Versuch, Trojaner durch Tricksereien am Zugriff auf Daten aus dem Browser zu hindern

Weia!

Was ich ĂĽberhaupt nicht verstehe: wenn man schon so eine ambizjonierte security-idee hat, warum im namen aller schwefelkackenden höllenhunde nimmt man dann einen voll aufgeplusterten webbrauser dafĂĽr, statt einfach eine anwendung zu schreiben, die nur die gewĂĽnschten funkzjonen implementiert? Diese anwendung abzusichern ist immer noch extrem schwierig bis unmöglich, aber allemal leichter als die absicherung eines fressenden komplexitätsmonsters von webbrauser mit seinen hunderten von möglichen angriffspunkten. Und wenn man seine anwendung — oh, wie altmodisch! — statisch linkt, kann ihr auch nicht ganz so leicht eine dynamische bibliothek (windohs-anwender lesen hier: DLL) mit hintertĂĽr untergejubelt werden. Gut, man muss sich noch irgendwie darum kĂĽmmern, dass die dynamischen bibliotheken des betrĂĽbssystems sauber sind, und ich habe keine gute idee, wie man das sicherstellen kann (man könnte zum beispiel nach änderungen eine scharfe warnung ausgeben, aber das hilft ja nicht beim ersten start des schlangenöl-brausers). Aber deshalb ist eine anpreisung „ist sogar sicher auf einem von fieser schadsoftwäjhr ĂĽbernommenen kompjuter“ ja auch so ein gärender, zum himmel stinkender bullschitt. Vor allem, wenn die wirklichkeit dann so aussieht:

Nachdem wir die Banking-Software erneut gestartet hatten, führte sie den Metasploit-Code in der DLL sofort aus. Daraufhin baute das Testsystem eigenmächtig eine sogenannte Reverse-Shell-Verbindung zu einem unserer Analysesysteme auf und schuf so eine Backdoor

Treffer! Versenkt! 💀️

MĂĽsst ihr verstehen: solche sogar aufgeweckten kindern bekannten 08/15-sicherheitslĂĽcken wurden von den security-spezjalexperten der scheiĂźspaĂźkassen und anderer banken gar nicht erst untersucht. Aber die reklameheinis märchenhafte zusagen der marke „mit unserem brauser bist du sogar sicher, wenn kriminelle deinen kompjuter ĂĽbernommen haben“ machen lassen!

Allein, dass die spaĂźkasse so einen unfassbaren security-bullschitt auf ihre offenbar fĂĽr hirnversehrt gehaltenen kunden loslässt, wäre fĂĽr mich ĂĽbrigens ein grund zur sofortigen kĂĽndigung, wenn ich dort kunde wäre. Ich mag es nicht, wenn man mich so offen verachtet — und naivere kunden einfach grundlos ins offene messer laufen lässt. Es gibt keine auch nur im weitesten sinn des wortes vertrauenwĂĽrdige datenverarbeitung auf einem kompjuter, der von schadsoftwäjhr ĂĽbernommen wurde und deshalb in wirklichkeit ein kompjuter anderer leute ist. Niemals. Wer etwas anderes sagt, ist entweder dumm wie scheiĂźe oder ein gefährlicher, vorsätzlicher lĂĽgner.

Ăśbrigens: diese bullschitt-versprechungen mit einem eigenen webbrauser der klitsche „coronic GMBH“ machen nicht nur die spaĂźkassen, sondern offenbar auch die volxbanken. Wendet euch von diesen gefährlichen irren ab, bevor ihr den schaden durch diesen irrsinn habt! Im härtefall seid ihr selbst in der beweispflicht. Und lasst eure intelligenz nicht von solchen irren aus der hirnhölle beleidigen!

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ă„ndern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ă„ndern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ă„ndern )

Verbinde mit %s

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..