Warum zum hackenden henker?

Warum kann ich in eine meikrosoft-excel-zelle =cmd|'/C calc'!xxx reinschreiben und beim öffnen der excel-mappe wird calc.exe ausgeführt? (Die referenz auf eine zelle ist in diesem fall völlig wirkungslos, deshalb habe ich sie durch xxx ausgetauscht.)

Und warum zum hackenden henker funkzjoniert das auch nach dem import einer CSV-datei (wisst ja, CSV ist voll sicher, da können schließlich keine fiesen makros drinsein) mit einer solchen zelle? Gut, es wird eine warnung beim öffnen/beim import angezeigt. Wir wissen alle, was anwender mit so einer warnung machen: ungelesen wegklicken, ohne dass von dieser unwillkürlichen tat auch nur ein bisschen bewusstsein zurückbleibt. Und hinterher, wenn es zu spät ist, sagen sie immer: „ich habe doch gar nichts gemacht“.

Gibt es dafür auch nur eine einzige sinnvolle anwendung, oder ist das nur eine eingebaute hintertür, damit die US-dienste kohd in einer CSV-datei verbauen und auf fremden rechnern ausführen können. Für letzteres spricht meiner meinung nach, dass diese „funkzjon“ nicht dokumentiert ist.

Hej, schön weiter überall excel verwenden, das ist voll gut. Der onkel werber hats ja gesagt, und sein stinkender bruder jornalist auch. Also muss es stimmen.

Aber das ist doch ende-zu-ende-verschlüsselt…

Messengerdienst
BKA kann bei WhatsApp mitlesen

Nach Recherchen von WDR und BR kann das BKA jedoch längst Chats über WhatsApp mitlesen – über eine reguläre Funktion

[Archivversjon]

So so, eine „reguläre funkzjon“. Also über eine in WanzÄpp eingebaute hintertür für polizeien und geheimdienste. Oder doch einfach wieder krüpplografie durch benutzerfreundlichkeit? Nein, beim fratzenbuch aus dem überwachungs-, kriegs- und folterstaat USA glaube ich grundsätzlich erstmal an absicht, wenn die kryptografie verkacken. Die müssen ja eine hintertür für die NSA in ihr WanzÄpp reinmachen.

Ich wünsche euch auch weiterhin viel spaß beim vertrauen ins fratzenbuch und in alle seine angebote! Hej, das ist das fratzenbuch, das ist mit spämm und schadsoftwäjhr großgeworden, vertraut schon, was kann da schon schiefgehen! So, und jetzt fresst ein bisschen lecker lecker zyankali! Oh, das riecht so lecker nach bittermandel!

Und was ihr von den lügen eurer feinde bei der scheißpolizei und bei den scheißgeheimdiensten zu halten habt, die in jedes mikrofon reinbehauptet haben, dass man anlasslose totalüberwachung und trojanifizierung jedes kompjuters in der BRD brauche, weil die schwerstverbrecher ja alle so fies über WanzÄpp verschlüsseln, das habt ihr jetzt hoffentlich auch gelernt. Während der ganzen zeit konnten die nämlich WanzÄpp einfach mitlesen. Auch weiterhin viel spaß mit den von euren steuergeldern besoldeten menschen- und verfassungsfeinden bei den scheißpolizeien und den scheißgeheimdiensten! Gruß auch an alle innenminister!

Aber hej, um irgendwelche „terroristen“, die so gottserbärmlich doof sind, dass sie ausgerechnet scheißwischofone für ihre „abgesicherte“ kommunikazjon verwenden, tut es mir nicht weiter leid. Mögen sie jahrzehntelang hinter gittern im eigenen saft schmoren! Schade nur, dass am ende in wirklichkeit wieder nur kleinere haschverkäufer wegen solcher WanzÄpp-lücken im knast landen, während jeder sprenggläubige dschihadist mit detonazjonshintergrund schon längst weiß, wie man richtig verschlüsselt und welche betrübssysteme man für die kommunikazjon nimmt. Ich bin mir sicher, dass jede mörderische organisazjon mit einem gewissen organisazjonsgrad eigene buhtfähige speichersticks verteilt. Es ist wenig aufwand, so etwas einmal zusammenzustellen und schrittweise zu pflegen, und leider sind die anhänger des großen blutdurstigen mördergottes nicht alle dumm.

Ausrede des tages

Huawei so: dieser versuch, da eine hintertür in den linux-kernel zu verbauen, damit haben wir nix zu tun, das war nur einer unserer mitarbeiter, der das auf eigene faust gemacht hat.

Ich will mal hoffen, dass die pätsches von unternehmen aus dem weltüberwachungsstaat USA genau so gut untersucht werden! Ich persönlich habe sowohl zu IBM, als auch zu guhgell, als auch zu meikrosoft deutlich weniger vertrauen als zu huawei.

💩 GAU des tages: magenta TV 🛑

„Magenta TV“ von den deutschen telekomikern. Da kriegste die hand nicht mehr aus dem gesicht! 🤦

Der ganze zwitscherchen-strang ist eine fundgrube des schrotts, der unfähigkeit und der unternehmerischen kriminalität gegenüber den eigenen kunden. Hier nur die gleißenden goldstückchen für alle, die keinen bock auf einen klick zum zwitscherchen haben:

Diese schmerzen! 💊

Was zur erekzjon des heilandes am kreuze! Hl. hölle! Das würde ich als kriminellen eingriff in die integrität meines kompjuters betrachten, und ich sehe gute schangsen, dass ein richter das genau so sieht, wenn man ihm ein paar dinge erklärt.

Wenn ihr glotzen wollt, nehmt eine glotze, aber keinen derartigen scheißdreck von der deutschen telekom — die übrigens als früheres staatsunternehmen eine gehörige regierungsnähe haben wird. Vielleicht handelt es sich hier um einen vorsätzlichen, von verfassungsfeinden wie BRD-innenministern und BRD-geheimdiensten „angeforderten“ versuch, künstlich sicherheitslöcher zu schaffen, um MITM-attacken auf TLS-verschlüsselte verbindungen durchführen zu können. Aber wisst ja: wer so etwas für möglich hält, ist ein so genannter „verschwörungsteoretiker“, ganz pfui und vermutlich nazi. Immer schön weiter dran glauben, dass in der scheiß-BRD alles in bester ordnung ist!

An fahrlässigkeit glaube ich jedenfalls nicht. Und irgendwelchen kohd von der deutschen telekom würde ich niemals an einen kompjuter lassen, nachdem ich

Security des tages

Na, benutzt hier jemand eine tastatur oder eine maus von logitech? Unter windohs? Mit einer „konfigurazjonssoftwäjhr“ von logitech (wofür auch immer, aber hej, ist halt windohs)?

Aufgrund einer fehlenden Prüfung nimmt die Software Befehle von beliebigen Websites entgegen und führt Kommandos aus. Auf diesem Weg könnten entfernte Angreifer zum Beispiel Tastaturen fernsteuern und so quasi direkt Schadcode in bedrohte Systeme eingeben

Weia! Was hat so eine… ähm… sicherlich nicht zufällig entstandene „fernwartungsfunkzjon“ in einem angeblichen treiber zu suchen?! Die wurde da doch mit irgendeiner absicht reingemacht, und dahinter steht ein vorhaben, das den käufern von logitech-produkten sicherlich nicht gefallen würde, wenn logitech es offen kommunizierte. Kohd entsteht nun mal nicht von allein. Leider.

Wieso ich „angeblicher treiber“ schreibe? Naja, typischerweise steht auf solchen mitgelieferten CDs oder gar DVDs zu mäusen und tastaturen „treiber für meikrosoft windohs“ drauf, aber da ist kein für den betrieb unter meikrosoft windohs erforderlicher treiber drin, sondern ein kackfass voll mit beim einlegen halbautomatisch installierter, unnützer blähscheiß-softwäjhr und gar nicht so selten sogar offene schadsoftwäjhr (wie träckende brausererweiterungen, irgendwelche adwäjhr und dergleichen drextrojaner). Und so kommt es dann, dass ein „treiber“, der auf richtigen betrübssystemen im schlimmsten fall ein paar hundert kibibyte zum installazjonsumfang beitragen würde, unter meikrosoft windohs zur installazjon von hunderten von mebibytes führt.

Probierts aus! Steckt die maus rein! Steckt die tastatur rein! Die funkzjonieren auch so (nachdem windohs mit seiner hardwäjhr-erkennung durch ist). Ohne den angeblich alles besser machenden und erforderlichen „treiber“. Sogar unter windohs. Ja, sogar schon unter windohs 98. 😉

Auch weiterhin viel spaß bei der täglichen vergewohltätigung durch konzerne, die euch hassen und verachten!

„Kameraüberwachung schafft sicherheit“ des tages

Offen wie ein Scheunentor:
Millionen Überwachungskameras im Netz angreifbar

[…] Mit etwas Glück kann er sich auf dem Gerät mit dem Benutzernamen admin ohne Passwort einloggen – das ist die Standard-Konfiguration der Geräte ab Werk […]

Aber hej, hier haben doch alle nix zu verbergen! Und der sicherheitsgewinn ist mal wieder so richtig knalle geil, denn der hersteller hat eine hintertür eingebaut, mit der man die in der klaut gespeicherten überwachungsaufnahmen auch manipulieren kann, damit der einbruch von unsichtbaren geistern durchgeführt wurde. Oder gleich eine neue firmwäjhr auf die kamera aufspielen. Oder sonstwas. Alles geht. Fuckup as a service.

Wisst ja, durch hintertüren in geräten wird auch alles sicherer, sagen euch die scheißp’litiker und ihre jornalistischen speichellecker ja auch jedes mal.

Security des tages

Hat hier jemand so ein NAS von western digital mit dem abschreckenden namen „my cloud“ bei sich herumstehen? Zieht mal lieber den stecker! Da ist werksseitig ein klitzekleines hintertürchen eingebaut worden:

Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne […] Zugriff mit Root-Rechten übers Internet […] erbat sich Western Digital bereits im Juni 2017 90 Tage Zeit, um die Sicherheitslücken zu schließen, was jedoch bis heute nicht passiert ist. Die Backdoor steht somit noch immer offen

m(

Natürlich, warum sollte man denn ein kleines hintertürchen schließen, wenn man es doch selbst eingebaut hat? (Andere erklärungen für so ein verhalten wollen mir beim besten willen nicht einfallen.) Auch weiterhin viel spaß mit irgendwelchen plastikkästen, die man euch verkauft, damit ihr sie schön, voll einfach und echt jetzt mal benutzerfreundlich mit einem ethernet-kabel ins internetz hängen könnt, ohne jemals auch nur elementare sicherheitsaktualisierungen dafür zu kriegen! Wenn euch das scheunentor nicht passt, könnt ihr ja einfach den näxsten plastikkasten kaufen.

Fest verdrahtete standard-anmeldungen für root? Das ist die neue offenheit! Den verbrechern dieser welt zum genuss und allen geheimdiensten zum wohlgefallen. Halleluja!

Aber hej, wo „cloud“ draufsteht, da regnen halt platschepampe die daten ab. Und die einladung zur freien kohdausführung für jedes siebenjährige häckkind bei seinen ersten unbeholfenen schritten ins neuland wird gleich mitgeliefert. Schon der produktname hätte bei mir eine akute kauf- und nutzungshemmung ausgelöst, so ganz irrazjonal und überhaupt nicht weiter begründbar. Ich würde ja auch keine nahrungsmittel kaufen, wo ganz groß zyankali auf der packung draufsteht… na ja, dumm kauft eben gut. Und frisst alles, was ihm werbeheins vorsetzen.

Schneller nachtrag: aus dem heiseforum, also ohne gewähr

Baugleich: D-Link DNS-320L ShareCenter

In dem Artikel wird mit keinem Wort erwähnt, das das D-Link DNS-320L ShareCenter baugleich mit dem WD Zeugs ist. Beide haben die selben hardcoded Login Daten.
Was für ein Zufall…

Es sind also vermutlich noch ein paar… ähm… fernwartbare NAS mehr im umlauf, und nicht alle tragen so alberne namen. Augen auf beim hardwäjhrkauf.

Security des tages

Stell dir mal vor, der audiotreiber für deinen kompjuter enthält einen kleinen trojaner, der jeden tastendruck mitschneidet und wegspeichert…

Nein, ich glaube bei solchen „versehen“ nicht mehr an ein versehen. Ich habe nämlich nicht den geringsten grund, daran zu glauben. Eine datei mit sämtlichen tastendrücken ist für gewisse staatlich gewollte und finanzierte gestalten mit geheimdienst- oder innenp’litikhintergrund viel zu nützlich, weil sie sämtliche passwörter offenbart. In den vereinigten staaten eines teils von nordamerika kann das einbauen von spionahschefähigkeit in ihre produkte für unternehmen zur pflicht werden, über die sie nicht reden dürfen. Wenn man bei der einreise seine kompjuter zur kontrolle abgibt — inzwischen sieht es an den grenzen der USA ja gar nicht mehr besser als an der grenze zur DDR aus, nur, dass man dort die eigenen staatsbewohner noch nicht mit aufwändigen anlagen einsperren muss — können alle daten schnell von der STASI 2.0 abgesaugt werden. Es kann ja alles einmal wichtig und interessant werden! Dass bei dieser vorgehensweise die gleichen informazjonen auch an jeden kriminellen offenbart werden, der weiß, wo er sie zu suchen hat, ist den verbrechensbekämpfern völlig egal, denn der kriminelle findet das ja nie, weil es geheim ist. 😦

Webschopping des tages

Tja, ist schon scheiße, wenn man in einem webschopp eingekauft hat, wo der programmierer gleich eine kleine hintertür zum datenabschnorcheln mit reingemacht hat und wenn diese daten dann für betrügereien aller art missbraucht werden, so dass man noch jahrelang ärger damit haben kann.

„Aber der war doch sicher, da war doch eine schlösschen in der adresszeile des brausers“.

Ich wünsche euch allen auch weiterhin ganz viel spaß beim festen glauben an den überall leicht und folgenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt.

D-link des tages

Was zum heiligen, blutschlürfenden henker?!

Hat hier vielleicht jemand so einen router von d-link rumstehen?

• admin has password admin
• root has password 1234

Telnet [!] ist natürlich offen. Also: immer offen. Eine richtige, nicht aus unentschuldbarer inkompetenz, sondern sicher aus niederträchtigem vorsatz eingebaute hintertür gibt es auch noch, und mit der kommt man an eine root-shell, ohne auch nur so etwas lästiges wie ein passwort eingeben zu müssen. Das wäre ja auch ein lästiger arbeitsschritt bei der „fernwartung“…

Ich wünsche euch auch weiterhin viel spaß mit eurer kompjutersicherheit!

Benutzt hier jemand ein „thinkpad“ von lenovo

Die Lücke tritt demnach nur im SMM des BIOS einzelner PC-Systeme auf Basis von Intel-Chipsätzen auf. Die ursprüngliche Intention des Codes sei ungeklärt. Womöglich handelt es sich um eine Backdoor? Lenovo stehe mit sämtlichen Independent BIOS Vendors (IBVs) in Kontakt, um den Programmierer des betreffenden Codes ausfindig zu machen

Einen etwas deutlicheren, allerdings englischen artikel gibts bei computerworld.

Toll, „outsourcing“ ist doch immer wieder eine gute sache. Vor allem, wenn es um softwäjhr geht. So viele schnelle cybereingreiftruppen mit ihren cyberkanonen kann man gar nicht aufstellen, wie überall durch „billige programmierer“ kleine hintertürchen bewusst oder unbewusst aufgemacht werden. Gewiss auch immer wieder einmal mit zusatzbezahlung für den programmierer durch irgendeinen geheimdienst, der mit solcher zusätzlicher unsicherheit für alle kompjuternutzer sicherstellen will, dass man mal eben schnell einen staatstrojaner auf dem flughafen oder an der grenze installieren kann.

Security des tages

Freie softwäjhr ist sicherer. Es gibt keine versteckten hintertüren. Die völlig offen eingebauten hintertüren können unter GPL lizenziert werden.

Ist aber nicht weiter schlimm, betrifft ja nur ganz wenige, exotische und harmlose geräte:

Das Unternehmen stellt hauptsächlich Ein-Chip-Systeme (SoC) auf ARM-Basis, Videoprozessoren und Einplatinencomputer her. Einsatz finden diese Ein-Chip-Systeme in Smartphones, Tablet-Computer, Set-Top-Boxen, Videokameras und Videosysteme im Automobilbereich

Ich wünsche auch weiterhin viel spaß mit den ganzen „smarten“ dingern!

Fefe des tages

Apple scheißt auf eure Privatsphäre

Frage des tages

Warum liest man so etwas eigentlich nie von meikrosoft oder guhgell. Denkt gut drüber nach… und wenn ihr glaubt, dass derartige anfragen niemals an meikrosoft oder guhgell gegangen sind, ach!

Security des tages

Mehrere Android-Smartphones mit Mediatek-Chipsatz erlauben es jeder beliebigen App, sich Root-Rechte zu sichern

Müsster onlein-bänking mit machen, mit den wischofonen, und müsster jetzt auch mit bezahlen!!!!1! Sind nur ein paar kriminell ausbeutbare überwachungsfunkzjonen der chinesischen regierung… ähm… „chineische test-funkzjonen“ drin, könnter euch voll drauf verlassen!!elf!!!!1! 😈

NSA-hintertür des tages

Natürlich ist das keine hintertür, sondern… ähm… was empfiehlt unser PRessesprecher… au ja, gut, das nehmen wir… natürlich ist es keine hintertür, sondern ein…

[…] Anmelde-Problem der Management-Umgebung

Und hej, es gibt überhaupt keine hinweise darauf, dass ein vorsätzlich eingebauter, versteckter, undokumentierte hintereingang, der nur durch einen pätsch entfernt werden kann — nein, kohd für solche funkzjonen schreibt sich (leider) nicht von allein, sondern muss mühselig geschrieben werden — zu irgendwas bösem missbraucht wurde. Wo die nach solchen hinweisen gesucht haben? Im kaffeesatz vermutlich. Oder durch rückfrage bei der NSA.

Allein die kunden- und intelligenzverachtung in derartigen mitteilungen einer „sicherheitsfirma“ ist grund genug, dort niemals, niemals, niemals kunde zu sein.

TLS des tages und warum man „dell“-kompjuter niemals mehr kaufen sollte

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen

Hersteller, die so eine scheiße vorsätzlich und mit böser absicht machen und es dabei billigend in kauf nehmen, dass ihre kunden mit… sagen wir mal… manipuliertem onlein-bänking abgezogen werden, sind feinde ihrer kunden und freunde der organisierten internetz-kriminalität. (Und natürlich auch freunde der horch- und morddienste, aber das bisschen würde und privatsfäre ist den leuten ja leider nicht so viel wert wie diese bunten läppchen irgendeiner staatlichen banknotenausgabestelle.)

Dell hat nichts weiter verdient, als an den insolvenzverwalter übergeben zu werden.

Ich wünsche euch auch weiterhin viel spaß dabei, an eine sichere verbindung zu glauben, nur weil ein kleines schlösschen im brauser angezeigt wird — einfach nur, weil andere eine liste auf den kompjuter (oder in die brauser) machen, welche CAs vertrauenswürdig sind. In diesem fall gilt zwar: wer seine fünf sinne beisammen hat, macht das vorinstallierte windohs auf einem neugekauften kompjuter mit dem ganzen unerwünschten blähscheiß eh platt und installiert sich ein frisches, ballastfreies windohs (oder etwas anderes). Aber: schaut euch mal an, wem da sowieso schon alles pauschal vertraut wird und versucht, diese liste nachzuvollziehen! Das ist die bekweme sicherheit mit dem schlösschen im brauser, die euch von scheißjornalisten immer als etwas total wichtiges verkauft wird und die es so einfach macht, irgendwelche kwasitrojaner unterzujubeln. Immer feste dran glauben! Und den scheißjornalisten nachsprechen: da ist ein schlösschen im brauser, das ist verschlüsselt, das kann nicht manipuliert werden, das ist sicher! Gehirne bitte vorher ablegen!

Ändräut des tages

Google kann nach Vorlage eines Durchsuchungsbefehls oder einer gerichtlichen Anordnung Passwörter zurücksetzen, um Strafverfolgern bei der Extrahierung von Daten zu helfen. Dieses Verfahren kann Google aus der Ferne durchführen und erlaubt forensischen Ermittlern, die Inhalte eines Geräts zu sehen

Auch weiterhin viel spaß mit den geräten, die ihr zwar kauft, bezahlt und immer eifrig und gefügig mit strom versorgt, die aber ganz jemanden anders gehören! Wo das internetz im händi ist, ists gehirn im arsch.