„Geistiges eigentum“ des tages

Adobe so zu seinen softwäjhrnutzern: hej, ihr habt kein recht mehr, alte versjonen von fotoschopp oder anderen CC-programmen zu benutzen, hört mal auf damit, oder wir verklagen euch! Habt ihr etwa geglaubt, das zeugs, für das ihr euer geld ausgegeben habt, sei euer eigentum, ihr deppen?!

Tja, leute, wenn euch doch nur jemand vor der scheibchenweise immer schlimmer vorangetriebenen enteignung in der softwäjhr gewarnt hätte!

Security und krüpplografie des tages

Das ist ein digital signiertes PDF-dokument, das kann niemand manipuliert haben [archivversjon].

21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war […] Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht

Kurz gesagt: wenn es um die implementazjon von kryptografischen sicherheitsfunkzjonen geht, schlampen alle. Wer braucht im zeitalter der internetzkriminalität schon eine gewissheit darüber, dass ein dokument unverändert ist?

Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Adobe des tages

Am 12. Januar hat Adobe mit einem automatischen Sicherheitsupdate für Adobe Acrobat bei annähernd 30 Millionen Chrome-Nutzern ein Plug-In für Googles Browser installiert, in dem eine heftige Schwachstelle steckt. Lockt ein Angreifer einen Chrome-Nutzer auf eine präparierte Webseite, kann er auf dem Gerät seines Opfers über eine Cross-Site-Scripting-Lücke beliebigen JavaScript-Code ausführen

Na, das sind doch sicherheitsaktualisierungen! Warum soll man dem anwender auch überhaupt eine auswahl lassen, ob er so eine brausereinstöpselscheiße überhaupt haben will? Das ist so nuller jahre, den besitzer des kompjuters zu respektieren, das ist nix mehr für die generazjon wischofon und windohs 10. :mrgreen:

Und wozu sollte man so einen schrott überhaupt brauchen. Das ist eine lösung ohne problem. Es gibt standard-druckertreiber, die als PDF exportieren. Der müll wird nicht benötigt, heimlich und ohne rückfrage installiert und macht eine hintertür auf dem rechner auf. Man darf vermutlich keine softwäjhr mehr aus den USA installieren, die werden ja gerade wieder great again.

„Internetz der dinge“ des tages

Auf der Hacker-Konferenz Def Con 24 in Las Vegas haben zwei Sicherheitsexperten gezeigt, wie sie ein vernetztes Thermostat eines ungenannten Herstellers mit einer Erpressungs-Software infizieren konnten […] „Einfache Sicherheitsvorkehrungen hätten diesen Hack verhindert, es gab nur keine.“

Bwahahahaha! Mit bildschirmfoto. 😀

Aber hej, so ein mit „adobe air“ betriebenes termostat hat eine SQL-datenbank und bildschirmschoner! Wenn ich das vor zehn jahren einem psychiater erzählt hätte… :mrgreen:

Wer sich dafür interessiert, hier das, was heise onlein verschweigt: es handelt sich um dieses großartige produkt.

Der kleine unterschied (bei kompjutern, nicht bei menschen)

Wisst ihr, was der unterschied zwischen dem von einer einheitsfront aus scheißjornalisten immer wieder einmal als riesen sicherheitsrisiko in verruf gebrachten fläsch und dem von der gleichen einheitsfront der arschlöcher hochgejubelten wischofon-betrübssystem ändräut ist? Bei fläsch werden die ganzen üblen fehler nach dem bekanntwerden auch mal schnell behoben und jeder kann sich aktuelle fläsch-versjonen ohne diese fehler für sein system runterladen und installieren, damit eben nicht massenhaft kompjuter wegen dieser fehler gepwnt werden. Versucht das mal mit dem drex-ändräut auf euren beschissenen wischofonen… ich meine jetzt, ohne dass ihr dabei die gewährleistung für das wischofon verliert, weil ihr die dinger „rooten“ müsst, nur weil ihr softwäjhr auf einem von euch gekauften und bezahlten kompjuter laufen lassen wollt, die ihr drauf laufen lassen wollt! Und dass die wischofon-hersteller euch in einem anfall von verantwortungsgefühl aktuelle und fehlerbereinigte softwäjhr geben, so dass sich nicht mehr jedes verspielte kind und jeder verbrecher auf euren wischofonen austoben kann… kommt, vergesst es! Die haben völlig andere interessen. Mögen die giftigen müllberge zum himmel waxen, denn das ist reibach und wirtschaftswaxtum! Nein, natürlich nicht für die allgemeinheit…

Auch weiterhin viel spaß mit technikverhinderung und enteignung! Kaufen sollt ihr, kaufen, kaufen, kaufen. Und glauben. Und kaufen. (Und euch von scheißjornalisten bilden lassen, die presseerklärungen von arschlochunternehmen abschreiben und euch das ergebnis dieser geringen mühe als jornalismus verkaufen. Und kaufen sollt ihr das. Oder wenigstens euren werbeblocker dafür abschalten, damit ihr nicht nur die schleichwerbung aufnehmt, sondern auch die gekennzeichnete reklame, die sich über die schleichwerbung legt, sie einrahmt, umblinkt und fast unlesbar macht.)

So, jetzt aber rasch den fix für fläsch installieren, wenn ihr noch fläsch nutzt! Fläsch ist deutlich sicherer als die wischofone, die sie euch verkaufen wollen… 😀

Und nach möglichkeit nie wieder auf reklame oder auf den hässlichen kleinen bruder der reklame, den jornalismus, reinfallen!

Adobe und „cloud“ des tages

Wenn ihr diese „creative cloud“-blähsoftwäjhr von adobe auf äppel verwendet und euch die letzte sicherheitsaktualisierung abgeholt habt, dann solltet ihr euch besser nicht bei eurem enteignungsdienst anmelden, denn sonst werden fröhlich in irgendwelchen verzeichnissen bei euch irgendwelche dateien gelöscht. Tja, die zusätzliche komplexität, die enteignung und die zusätzlichen sicherheitsrisiken, die sich im reklamewort „cloud“ verstecken, erhöhen nun einmal die fehleranfälligkeit…

Auch weiterhin viel spaß mit den beglückungsideen der leute, die euch enteignen wollen und euch zusätzliche abhängigkeiten ins leben implementieren wollen! Zum sklavenmarkt zweite tür links. Jeder nur ein joch.

Fläsch des tages

„adobe“ hat sich eine tolle neue strategie, wie man die leute vom fläsch-pläjher wegbringt ausgedacht:

Der Download der kompletten Installationsdateien des Flash Players ist Adobe zufolge ab dem 22. Januar ausschließlich Business-Anwendern mit einer gültigen Lizenz vorbehalten. Wer ab dem 1. Dezember 2015 eine Lizenz anfordern will, benötige eine Adobe ID. Private Nutzer müssen ab Januar auf get.adobe.com/de/flashplayer ausweichen

Oder kurz: ab jetzt nur noch mit der reklame-schadsoftwäjhr des schlangenöl-spezjalisten „mcaffe“ verseucht. Also aufpassen beim schnellen durchklicken, „adobe“ verdient daran, dass ihr überrumpelt werdet. Das ding einfach nur verrotten zu lassen, war „adobe“ noch nicht anwenderverachtend genug.

Am meisten freuen sich im heise-forum mal diejenigen drüber, die lt. eigener aussage das dingens eh nicht nutzen und deshalb gar nicht betroffen sind — wie gaga! Das sind bestimmt die narzisstisch gekränkten zeitgenossen, die mit ihren teuren funkzjonslimitierten dummkonsumgeräten damals von äppel überall ausgesperrt wurden, wo im web fläsch benutzt wird und die diese kränkung immer noch nicht überwunden haben… :mrgreen:

Wischofon des tages

Die werber so: das bisherige träcking schneidet noch nicht weit genug in die privatsfäre rein. Schreiben wir doch trojanische wischofon-äpps, die das mikrofon aktivieren und reichern wir rundfunk und fernsehreklame (und vermutlich auch plärrreklame in webseits) um für menschen unhörbare frekwenzmuster an, an denen wir dann träcken können, was für werbung (und damit: was für ein fernsehprogramm) mensch sich so reinzieht.

Seht ihr, liebe konsumviecher mit der freude am telefonwischen: es ist eine total gute idee, seine überwachungswanzen selbst zu kaufen und selbst aufzuladen und dafür zu sorgen, dass die ständig onlein sind. „Smart“ nennt ihr das, und in der tat, es stimmt: verglichen mit euern eigenen intelligenzleistungen wirkt eurer funkzjonslimitiertes dummkonsumteil richtig schlau.

Übrigens, heise: eine liste, welche 67 äpps derartige trojaner sind, wäre sehr hilfreich für informierte entscheidungen der leser.

Fläsch des tages

Ich schreibe schon gar nichts eigenes mehr zur heise-meldung mit der fläsch-sicherheitslücke des tages. Nur eines: wer fläsch nicht deinstallieren kann oder möchte, sollte im brauser „click to play“ aktivieren.

Und ja: wenn ich höre, dass eine fläsch-lücke in dailymotion ausgebeutet wurde, dann glaube ich nicht, dass sie von dailymotion ausgebeutet wurde, sondern in form eingebetteter fläsch-werbung. Ah ja, ganz am ende schreibt das reklame-finanzierte heise onlein auch diese wichtige informazjon hin…

Da der Schadcode über Anzeigennetzwerke verteilt wird […]

…damit auch ja keiner den zusammenhang unmittelbar auffasst. Gegen diesen angriffsvektor gibt es ein sehr wirksames mittel: den adblocker. Niemals, niemals, niemals ohne adblocker im internet unterwegs sein! Dass die kwantitätsjornalisten von heise onlein nicht das „anzeigennetzwerk“ beim namen nennen, stinkt übrigens zum himmel. Halbwegs seriöse vermarkter haben selbstverständlich ladefähige anschriften ihrer kunden und würden im kommenden strafverfahren alles für die ermittlung dieser verbrecher tun und dies auch offensiv kommunizieren, um den eigenen ruf vor der beschmutzung durch solche machenschaften zu schützen. Offenbar ist so viel seriosität von einem reklamearschloch schon zu viel verlangt, und stattdessen wirds mit totschweigen geflickt.

Einer noch am ende: Dass diese scheißklitische namens „adobe“ nicht dazu imstande ist, ihre sicherheitstexte so zu veröffentlichen, dass ich sie mit einem gesicherten webbrauser mit deaktiviertem javascript lesen kann, diskwalifiziert „adobe“ für alle sicherheitsangelegenheiten. Vielleicht sollte man fläsch einfach mal von „adobe“ enteignen…

Flash des tages

Offenbar hat adobe selbst keine lust mehr auf das flash-plugin und tut deshalb alles, um den schlechten ruf noch schlechter zu machen:

Wer Flash für Linux von der offiziellen Adobe-Seite herunterlädt, bekommt […] die alte – und verwundbare – Version des Plug-ins

Kann diese leute mal jemand von ihrem kohd enteignen?!

(Hej, und ihr da hinten bei heise: ich bin linuxnutzer und fühle mich gar nicht so „hart“ davon getroffen. Könnt ihr statt solcher bullschitt-aussagen wie „Ganz besonders hart trifft es die Linux-Community“ besser mal den unkundigen unter euren lesern schritt für schritt erklären, wie man „click to play“ aktiviert. Ich habe das in den letzten tagen öfter getan.)

Verschlüsselung des tages

Adobe will sich jetzt nicht noch einmal dabei erwischen lassen, dass die ihh-buks nicht nur von lesern gelesen werden, sondern auch die leser lesen und lässt sein ih-buk-lesedingens „digital editions“ deshalb verschlüsselt nach hause telefonieren; ja, das telefonieren muss ja sein, wisst schon, wegen des jedes eingriffes in die privatsfäre rechtfertigenden „geisigen eigentums“:

Dazu gehören etwa die IP-Adresse, die Lesedauer und der bereits gelesene Umfang des Buches. All dies sei nötig, um Piraterie zu verhindern und Bezahlmodelle nach Region, Zeit oder Umfang zu ermöglichen

Wurde natürlich bei jedem ih-buk gemacht, das damit gelesen wurde, selbst wenn es freie literatur war. Auch weiterhin viel spaß mit dem „geistigen eigentum“, der weitgehenden überwachung durch vertreter totalitärer geschäftsmodelle und der allgegenwärtigen technikverhinderung durch DRM. Wer davon die schnauze gestrichen voll hat: wo die piratenbucht liegt, wisst ihr?! 😉

„E-book“ und adobe des tages

Sorry, schnell und etwas schlampig übersetzt — die hervorhebung ist von mir:

Adobe sammelt daten über die „e-books“, die geöffnet wurden, welche seiten gelesen wurden und in welcher reihenfolge. Alle diese daten, einschließlich titel des buches, verleger und weitere metadaten des buches werden zum sörver von adobe im klartext gesendet.

Ich mache keinen witz. Adobe speichert nicht nur, was anwender tun, die senden die logdateien zu ihren sörvern auf eine weise, dass auf jeder zwischenstazjon der datenübertragung jemand mitlesen kann und das alles wissen kann.

Hej, nicht einmal für eine rot13-verschlüsselung hats gereicht, und erst recht nicht für eine wirksame. Noch besser wäre natürlich, auf die sachlich und technisch völlig überflüssige totalbespitzelung von menschen und die langfristige datenspeicherung zu verzichten. Aber den nutzern, die man so nicht nur „ganz gewöhnlich“ vor adobes marketing-hirnfickern und vor den horch- und morddiensten der USA, sondern gleich vor der ganzen welt datennackt macht, DRM-kacke mit den „e-books“ zumuten! Was bin ich froh über die piratenbucht, wo man literatur ohne überwachungsfunkzjonen… ähm… beziehen kann!

Hol dich der insolvenzverwalter, adobe!

„Cloud“ des tages

Stell dir mal vor, du hast für softwäjhr bezahlt und kannst sie tagelang nicht mehr starten, weil irgendwo bei „adobe“ die infrastruktur abkackt:

Seit Mittwoch haben Creative-Cloud-Nutzer Schwierigkeiten, sich bei ihrem Dienst anzumelden, ein neues Abo abzuschließen oder schlicht ihre Adobe-Anwendungen zu starten. Adobe bittet um Geduld

Auch weiterhin viel spaß mit der „cloud“ und mit unternehmen, deren geschäftsmodell darin besteht, dass sie dir deinen kompjuter und deine daten enteignen wollen — und zwar mit einem datenschutzrisiko, dass du genau so trägst wie das kostenrisiko, wenn die „cloud“-scheiße mal wieder nicht verfügbar ist, während kunden darauf warten, dass die bezahlte arbeit fertig wird.

(Ein vergleichbarer ausfall bei office 365 ist nur eine frage der zeit.)

Adobe, hackts bei euch! (Sehr wichtiger hinweis!)

Was zum hackenden henker habt ihr euch bei dieser beglückungsidee in eurem „flash“ gedacht?

Bildschirmfoto 'peer-assisted networking panel' aus den einstellungen des 'flash-player' von adobe

Ihr macht es tatsächlich und ohne die spur einer kommunikazjon zu einer standardeinstellung, dass jede dahergelaufene seite im internetz ein kleines „flash“-element einbetten kann, das dann meinen (und nicht nur meinen) rechner dazu verwendet, ohne meine ausdrückliche kontrolle irgendwelche dateien anderer leute im internetz zu verteilen?

Wer hat euch ins gehirn gekackt?

Muss über euren tollen trojanischen mechanismus denn wirklich erst jemand… sagen wir mal: pornografische darstellungen sexuellen kindesmissbrauches… im internetz verbreiten; müssen wirklich erst einmal ein paar tausend alles in allem harmlose brauser-nutzer mit entsprechenden ermittlungen der staatsanwaltschaften konfrontiert werden, weil dieses material über ihre IP-adresse lief, bis euch auf einmal auffällt, dass das eine absolute scheißidee war? Oder auch mal nicht-lizenzierte kopien urheberrechtlich geschützter werke? Zum beispiel, indem manipulierte „flash“-reklame über einen gepwnten reklamesörver ausgeliefert wird? Oder indem ein winziges, unsichtbares „flash“-teil in eine gehäckte seite eingebettet wird? Muss es wirklich erst zu ein paar handvoll fehlurteilen irgendwelcher technisch unkundiger richter (der normalfall in der BRD) in solchen sachen kommen, die für die betroffenen entweder teuer sind oder gar mit einer verknastung für kinderpornografie enden, bis euch auffällt, dass ihr bei der herstellung eines ausgesprochen wichtigen plugins auch ein bisschen verantwortung habt? Oder macht ihr euch solche gedanken gar nicht mehr, weil euch eh alles scheißegal ist?

Nein, mich betrifft das von euch geschaffene problem nicht. Ich konfiguriere meine brauser so, dass ich erstmal reinklicken muss, bis ein „flash“-applikazjönchen überhaupt aktiv wird. Es betrifft ausschließlich die unkundigen und naiven, die nicht damit rechnen können, dass sie von euch, von Adobe, einen trojaner untergejubelt kriegen — den sie auf vielen, vor allem unterhaltsamen webseits brauchen. Denen sind natürlich auch die brausereinstellungen viel zu „kompliziert“ und sie haben angst, dass sie mit ein paar klicks ihre kompjuter kaputt machen.

Bislang habe ich „flash“ immer wertneutral als eine technik betrachtet, mit der sich allerhand anfangen lässt, sogar gutes, wenn man nicht gerade ein reklameheini ist. Aber mit dieser tollen idee habt ihr den „flash-player“ in einen trojaner verwandelt und auf milljonen kompjutern installiert. Das war wirklich saudoof und so gedankenlos, dass ich zweifel daran bekomme, ob man überhaupt noch softwäjhr von adobe benutzen sollte.

Wer keine lust hat, sich demnächst mit staatsanwälten wegen kriminellen missbrauchs seines internetzzugangs und mit anwaltsbüros wegen zivilrechtlicher ansprüche wegen kriminellen missbrauchs seines internetzzungangs auseinanderzusetzen, gehe bitte hier lang und klicke auf die tscheckbox vor „P2P-Uplink für alle deaktivieren“. Sollte sich die funkzjon als fehlerhaft erweisen und dennoch eine nutzung durch kriminelle möglich sein, hat man wenigstens seiner sorgfaltspflicht genüge getan.

Natürlich via Fefe, aber mein zorn über diese trojanifizierung von „flash“ durch adobe ist meiner…