Ganz besonderes elektronisches anwaltspostfach des tages

Kryptografie scheint sehr schwierig zu sein, krüpplografie um so einfacher, auch bei den signaturen von ZIP-archiven im besonderen elektronischen anwaltspostfach:

Das beA lädt die Nachricht als ZIP-Datei herunter, begleitet von einer abgesetzten PKCS#7-Signaturdatei (Public-Key Cryptography Standard # 7). Diese Datei ist jedoch fehlerhaft. Prüfprogramme finden darin keinerlei Signatur und die Prüfung auf Echtheit versagt. Dies ist dem ersten Anschein nach bei allen bisher exportierten Nachrichten so […] Prüfen lässt sich nur die Signatur der PDF-Datei, was ohne weiteres gelingt, nicht jedoch die Containersignatur, die eine Echtheit des Exports nachweisen soll

Weia, haben die das verkackt! Und auf elementare funkzjonstests (zum beispiel, ob die signatur funkzjoniert) wurde vollständig verzichtet. 🤦

Hej, anwälte, wo bleibt eigentlich eure klagefreude?! :mrgreen:

Der erste entwurf für unicode ist von 1988…

…und inzwischen hat sich die erde einunddreißig mal um das sönnchen gedreht und jedes moderne betrübssystem kann inzwischen völlig problemlos alle möglichen zeichen aus so ziemlich jedem verbreiteten alfabet verarbeiten und darstellen, ohne dass es irgendein problem damit gibt. Das ganze frühere krüppelgeraffel mit „codepages“ ist heute weitgehend vergessen, und die jüngeren können sich sicherlich kaum noch vorstellen, was das sein soll. Nur das so genannte „besondere elektronische anwaltspostfach“ für die BRD wurde von spezjalexperten geproggt und kann deshalb keine deutschen umlaute. 🤦

Allein das wäre ein grund, den ganzen schrott sofort wegzuschmeißen und von der klitsche, die diesen müll produziert hat, schadenersatz einzufordern.

Und wer jetzt glaubt: hej, dann gibts halt eine fehlermeldung und man macht die ganzen buchstaben mit puenktchen drueber weg und schreibt wieder wie in den achtziger jahren, hat sich auch geschnitten:

Ein Kläger hatte an den Bundesfinanzhof eine Begründung fristgemäß versandt, versäumte die Frist aber dennoch, da die Datei beim Bundesfinanzhof nicht eintraf. Der Grund war, dass er Umlaute und Sonderzeichen verwendet hatte, was nicht zulässig ist. Doch das war dem Kläger nicht bekannt. Ebenso wenig wusste er, dass seine Nachricht nicht eingegangen war, denn die BeA-Software hatte die erfolgreiche Zustellung gemeldet

Au mann!

Digitales BRD-leuchtturmprojekt des tages

Intensivnutzer des besonderen elektronischen Anwaltspostfachs (beA) berichten von schlimmen Zuständen. Über das Webinterface könne man im Schnitt nur jede zweite Nachricht fehlerfrei absetzen. Bei der Verwendung einer Anwaltssoftware falle die schlechte Erreichbarkeit weniger auf, weil diese im Hintergrund versuche, Nachrichten abzuholen oder zu übermitteln. Darüber hinaus würden häufig Gerichte zurückrufen, sobald man ein Dokument zugestellt habe, weil sie nicht in der Lage seien, die Dokumente abzuholen oder auszudrucken […] Ob Gerichte bei eventuellem Fristversäumnis aufgrund solcher Störungen des beA Wiedereinsetzung in den vorigen Stand gewähren, ist derzeit ungewiss

Wer lust hat, kann ja mal versuchen, die monatlichen bezüge der verantwortlichen für diese große scheiße abzuschätzen. Die werden jedenfalls weiter bezahlt.

BRD-leuchtturmprojekt des tages

Gut, in diesem besonderen elektronischen anwaltspostfach sind zwar ein paar… ähm… kleinere sicherheitsproblemchen drinnen, aber dafür wird die softwäjhr doch wenigstens die anderen an sie gestellten anforderungen erfüllen können, oder?!

[…] durfte ich feststellen, dass meine beA-Software offenbar immer mein eigenes Aktenzeichen mit dem des Gerichts vertauscht […]

Klingt ja nach so richtig ausgiebig getesteter kwalitätssoftwäjhr.

BRD-leuchtturmprojekt des tages

Betriebsbehindernde Sicherheitslücke bleibt bestehen

Man kann ja einfach eine ehrenwache der von-der-Leyenhaften cyberwehr vor der betriebsbehindernden sicherheitslücke abstellen, die dann die pösen putinhäcker mit cyberkanönchen beschießt. :mrgreen:

Oder man… ähm… sieht das problem einfach als beendet an:

Brak sieht Lücke als behoben an, kann aber nicht erklären, warum

Sag ich doch: problem gelöst, deckel druff, feste hoffen, dass es nicht wieder hervorkriecht. Was kann dabei schon schiefgehen?! :mrgreen:

Und hej, außerdem kann man es mit dem sicheren linux betreiben:

Die Linux-Installation wird offiziell laut Brak nur unter der inzwischen schon über zwei Jahre alten Ubuntu-Version 16.04 unterstützt. Doch ein Test von uns bestätigte, was uns auch ein Anwalt mitteilte: Die Installationsroutine brach unter Ubuntu 16.04 mit einem Absturz ab

Oh, gucke mal, ist der pinguin gestolpert… vielleicht doch besser ein unbuntu 14.04 nehmen? In nur zwei jahren macht das security-technisch eh keinen großen unterschied mehr. 😀

Security des tages

Ein BRdeutsches leuchtturmprojekt für lichtallergiker scheint endlich abgeschlossen zu sein; die letzten klitzekleinen sicherheitsmängelchen wurden nach bestbananiger BRDDR-metode durch feierliches wegsprechen der probleme bereinigt:

Auch wenn keineswegs alle bekannten Sicherheitslücken geschlossen sind, erklärt die BRAK das besondere elektronische Anwaltspostfach (beA) für sicher

„Ich erkläre das sogenante sicherheitsproblem für erledigt. Weitere einzelheiten würden die nutzer nur beunruhigen“. Cyber cyber! Gruß auch an die fiesen russischen häcker! :mrgreen:

Neuland des tages

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces – und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können

Nehmt java, haben sie gesagt. Das ist sicher und solide, da schreibt sich guter kohd wie von alleine, haben sie gesagt. (Vieles haben sie schon über java gesagt. Das meiste stimmte nicht.)

Und, wie kriegt man das mit der veralteten komponente raus?

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt

Also richtig tiefgreifende häckerkenntnisse auf dem niewoh eines spielkindes! Einfach strg-U drücken, wenn eine webseite angezeigt wird, und mal ein bisschen HTML lesen. Und dann einfach mal gucken, ob man mit einem bekannten und öffentlich verfügbaren perlscript noch in einer seit beinahe zwei jahren gefixten sicherheitslücke rumcybern kann. Weia! 😦

Das frage ich mich unwillkürlich, wie gut wohl der rest von dieser „besonderen elektronischen anvergewaltsvercyberung“ ist. Und ich tippe drauf, dass da noch hunderte von vergleichbaren scheunentoren zum einlass irgendwelcher nicht den vorgesehenen eingang benutzender besucher drinnen sind.

Ein ganz besonderes anwaltspostfach eben…

Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte diese so schnell wie möglich entfernen. Der BeA-Client ist von einer Java-Deserialisierungslücke betroffen, über die bösartige Webseiten Code ausführen und einen Rechner übernehmen können

Das ist mal wieder BRD-kwalität vom feinsten! Warum nehmen die nicht einfach den immerhin funkzjonierenden, unter massiver geldverschwendung aufgerichteten BRD-neuland-rohrkrepierer DE-mäjhl, damit das dingens wenigstens noch einen kleinen nutzen hat? Warum entwickeln die dafür ein komplett eigenes flickwerk? Ach ja, weils bezahlt wird. Oder haben die werten rechtsanwälte bei DE-mäjhl mit der eingebauten staatlichen datenschnorchelstelle — güldnes kwalitätssiegel: durch bundesgesetz für sicher erklärt — etwa datenschutzbedenken? :mrgreen: