Bullschitt statt sicherheit in der informazjonstechnik…

…so deute ich die abk. BSI jetzt schon. Da hat es mich nicht wirklich überrascht, was Fefe heute rausgebloggt hat:

Interne Berichte beschreiben etwa die Kooperation der NSA mit den deutschen Diensten und sogar mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – das die deutschen Nutzer eigentlich vor Cyber-Bedrohungen von außen schützen sollte.

Vielmehr erscheinen viele dinge von vor ein paar monaten auf einmal in ganz anderem lichte — zum beispiel diese ganzen erschröcklichen tatütata-FUD-meldungen, dass milljonen von deutschen mäjhladressen von irgendwelchen niemals genannten kriminellen gepwnt wurden und die wirklichkeit hinter diesen meldungen. Oder, um noch einmal meine eigenen worte dazu zu wiederholen:

Ihr habt… entschuldigt bitte den etwas unsachlichen Tonfall… als eine Behörde der Bundesrepublik Deutschland längst bei vielen Menschen verschissen, wenn es um ihre Privatsphäre geht.

Aber so ists schon ein bisschen klarer. Wenn man eine weltüberwachung macht, muss man der psyche der davon betroffenen menschen schließlich ordentlich angst injizieren, damit ihnen das zumindest ein bisschen wie ein kleineres übel vorkommt. Und in der gleichermaßen sinnlosen wie wirkmächtigen angstmache hat sich das BSI in den letzten monaten sehr kompetent gezeigt. Das sind mitverschwörer. Und genau so sollte man alle stellungnahmen dieser scheißbehörde in zukunft behandeln.

200.000 FTP-passwörter gestohlen

Und das beste daran, die passwörter sind immer noch da. Aber scherz beseite, die erschröckliche zahl von 200.000 irgendwie von verbrechern ermittelten FTP-zugängen scheint nicht ganz so schlimm zu sein, sondern mal wieder eine menge veraltetes zeugs zu enthalten. Also ganz genau so wie die anderen erschröcklichen meldungen, die das BSI regelmäßig über die gesamte scheißpresse in ein überwiegend laienhaftes publikum schmeißt. Ein verschwörungsteoretiker, der seine ohren dicht am graswux hat, könnte da schon mal denken, den instituzjonen rund um unsere bummsregierung kommt es vor allem darauf an, im zusammenhang mit dem internetz-neuland möglichst viel angst, unsicherheit und zweifel auszustreuen. Oder wird der spin demnächst so lauten: wenn eh jeder kriminelle meine daten hat, ists doch nicht weiter schlimm, wenn der staat sie mit seinem totalüberwachungsprogramm auch hat…

BSI des tages

Woher sollen die beim BSI auch wissen, wer in der BRD alles proweider ist? Woher nur?

Ach ja, und diese ganzen „gehäckten mäjhladressen“, von denen das BSI alarmtrötet, scheinen sich ja auch mal wieder bei gründlicher betrachtung in fast nichts aufzulösen. Das erinnert irgendwie an die alarmposaunerei aus dem januar, wo dann ein paar tage nach der tagesschau-meldung von „fiktiven mäjhladressen in der sammlung“ die rede war, natürlich ohne, dass das noch einmal so durch das staatsfernsehen gegangen wäre. So langsam sollten wir alle uns damit abfinden, dass das BSI nur sinnlose gekwirlte FUD-scheiße mit dem ganz lauten alarmton und dem extradicken angesetzten angsthebel (identitätsdiebstahl, jemand versendet späm mit deinem konto und du kannst ganz schweren schaden erleben) verbreitet — und dafür sorgen, dass das auch jeder weiß. Sonst reagiert noch jemand in panik wegen dieses mit steuergeldern finanzierten desinformazjonsmülls.

Einmal hätte ich euch bundesamtlern für FUD den griff in die kacke ja durchgehen lassen, aber zweimal direkt nacheinander, ohne auch nur die spur von lernfähigkeit… kommt, beim BSI, labert dahin, wo man vom neuland spricht. Ihr seid beim besten willen nicht mehr ernstzunehmen. PLONK.

Achtzehn milljonen mäjhlpasswörter

Warum ich nichts zu diesen aufgetauchten achtzehn milljonen „mäjhlpasswörtern“ sage? Weil niemand nix weiß, alles, was darüber geschrieben wird, ziemlich hohl ist und das BSI bis montag zeit braucht, um eine presseerklärung zu formulieren, die wir dann von der webseit fotokopieren dürfen. :mrgreen:

Kann also nicht so eilig sein. Ursprünglich waren es übrigens „mäjhladressen mit passwörtern“, aber mitmensch kwalitätsjornalist findet es halt besser für die aufmerksamkeit, wenn proweiderübergreifend die mäjhlkonten gecräckt werden, dass es nur so rattert, als wenn es sich um… ähm… irgendwelche zusammen mit dieser mäjhladresse verwendeten passwörter handelt. In wirklichkeit hat sich das bundesamt für sicherheit in der informazjonstechnik schon im januar als laden erwiesen, der auch mal ganz laut und mit tagesschau-meldung die panik-alarmsirenen aufheulen lässt, ohne dass irgendein objektiver anlass dazu besteht. Wer wissen möchte, wie verbrecher an mäjhladressen und passwörter kommen können, lese bitte auf der datenschleuder-seite auf „unser täglich spämm“ weiter. Alle diese abgegriffenen daten fluktuieren untern kriminellen und werden teils aus mehreren kwellen zusammengeführt.

Also, lehnt euch zurück und wählt sichere passwörter! Ob das passwort sicher genug ist, erfahrt ihr übrigens hier. :mrgreen:

Ach ja…

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet derzeit mit Hochdruck und in Zusammenarbeit mit Behörden und Providern an einer Lösung, wie und auf welchem Wege betroffene Internetnutzer informiert werden können

…natürlich heult die sirene mit „hochdruck“. Man kann förmlich die heißluft spüren, die daraus entweicht. Und was die da im januar benutzt haben, lässt sich wohl nicht so einfach benutzen, denn das war nur für genau die gleiche problemstellung — schneller test, ob eine mäjhladresse betroffen ist — gebaut. Lieber steuerzahler, hier sind deine steuergelder bei der arbeit! Mit hochdruck! Und alarmgeheule!

DE-mäjhl des tages

Nach wie vor ist DE-mäjhl, diese mäjhl, die man an keine e-mäjhl-adresse versenden kann und die zudem noch kosten verursacht und pflichten nach sich zieht, eine lösung, für die es leider kein passendes problem gibt. Aber unsere lösungsanbieter haben jetzt ein problem dafür gefunden. Fotografen und sogar fotoautomaten können über DE-mäjhl die fotos für einen personal-ausweis direkt an die ausstellende behörde senden, so dass man sie bei der beantragung einer neuen untertanenurkunde nicht mehr selbst dorthin tragen muss.

Das löst ja in der tat ein gigantisches und schwerwiegendes problem, das bislang nur niemand so richtig wahrgenommen hat. Was wären wir nur ohne diese sonderspezjalisten beim BSI, die uns aufzeigen, was es für gigantische probleme in unserer heiteren kleinen T-systems- und siemens-bananenrepublik gibt, die sich mit DE-mäjhl lösen lassen. Was nun der vorzug einer absurd aufwändigen infrastruktur gegenüber einem guten, altmodischen SFTP-upload auf einem sörver der ausstellenden behörde sein soll, wenn so ein fotoautomat nicht einmal direkt DE-mäjhl benutzen kann…

Die Kommunikationsstrecke zwischen dem Fotoautomaten und dem Gateway müsste dabei zusätzlich etwa durch eine TLS-Verbindung abgesichert werden

…und deshalb eh schon TLS-verschlüsselt zu einem anderen sörver übertragen muss, der daraus dann eine DE-mäjhl macht, verraten uns die fröhlichen steuergeldverbrenner allerdings nicht in ihrer presseerklärung, die so eifrig von golem wiedergegeben wird.

Übrigens golem: die übernahme von extrem bullschitthaltigen presseerklärungen in das redakzjons-CMS macht noch keinen jornalismus aus.

Tatütata hup hup, wir sind zu spät!

Könnt ihr euch noch an diese tatütata-alarmmeldung des BSI mit den 16 milljonen mäjhladressen in den händen von kriminellen erinnern, die sogar in die tagesschau gekommen ist. Und an die aufforderung, doch jetzt dringend und ganz unbedingt mal seine mäjhladresse auf einer obskuren website — nicht in der domain des BSI — einzugeben und mal nachzuschauen, ob man betroffen ist, damit man ganz dringend antivirus-schlangenöl (der link auf avira ist gleich auf der prüfseite) installiert, weil… ähm… ja weil irgendeine mäjhladresse aus völlig ungeklärten gründen in irgendeiner mutmaßlich aus vielen kwellen zusammengestellten liste von verbrechern steht. Aber tatütata! Und extraeilig!

Und jetzt der brüller daran: für diese tolle akzjon hat das bundesamt für satire mit internetzbezug ein halbes jahr vorbereitung gebraucht. Die mäjhladressen lagen dort schon im sommer letzten jahres vor.

Und morgen schon wird die netzp’litische feuerwehr aus allen frakzjonen des deutschen bimbestages zusammenkommen und mit ihren von innerer verwesung geprägten arschfressen einfordern, dass wir jetzt mehr überwachung gegen den mäjhlterrorismus brauchen, weil ja sogar schon mäjhladressen von bundesbehörden in einer ominösen, aus vielen kwellen zusammengetragenen datei zusammen mit „fiktiven adressen“ (kein witz!) auftauchen. Denn dieser teil des propaganda-bullschitts wird weiter und immer und immer wieder wiederholt: es war ein ganz ganz gefährlicher angriff durch ein botnetz!!zwölf!

Überraschung des tages

Die tatütata-alarmmeldung des BSI mit milljonen von gehäckten mäjhlkonten und ganz gefährlichen botnetzen für den identitätsmissbrauch, die es sogar in die tagesschau gebracht hat, hatte als „substanz“ vor allem ein bisschen heiße luft — und wer dort eine warnung bekommen hat, darf jetzt nachlesen, dass diese warnung auch gar nix bedeutet. Das schafft es natürlich nicht zur meldung in drecksglotze und dreckspresse, und unterdessen bereitet unser bundesentrechtungsminister den mauerbau im internetz vor. Was ist schon eine verschwörungsteorie gegen die verschwörungspraxis.

Niemand hat die absicht, eine mauer zu errichten…

Erst baut man mit dem BSI in nebulösen presseerklärungen ein schreckensszenario auf, dass ein erheblicher teil der bevölkerung der BRD von identitätsdiebstahl betroffen ist, nennt aber weder datenkwellen noch irgendwelche einzelheiten oder überhaupt irgendwas. Und wenn dann neunzig prozent der bevölkerung in ihrem (von staat, glotze, presse und schule verantworteten) kompletten EDV-analfabetismus vor angst gelähmt sind, sagt der polizeiknüppel- und volxentrechungsminister Thomas die Misere folgendes:

Wir brauchen rechtliche Regeln, wir brauchen technischen Schutz, eine Mauer.

Wie diese mauer im internetze [!] aussehen wird, kann ich mir nur zu gut vorstellen! Gar nicht mal so sehr anders als die „great firewall of china“, innerhalb derer geheimdienste und willkürbullen für die erwünschte meinung und „ordnung“ sorgen.

Und in unwissenheit gehalten, von staatlichen und privatwirtschaftlichen verdummungs- und verrohungsmedien gut unterhalten und vor so leicht zu erzeugender breiter angst gelähmt trottet das deutsche stimmvieh solchen demagogen hinterher. Mäh!

Sportlich, sportlich

16 milljonen mäjhladressen haben sich kriminelle also unterm nagel gerissen, und dazu vermutlich auch alles andere an daten, was sie nur bekommen konnten. Die webseit vom bundesamt für scheinsicherheit in der informazjonstechnik, auf der man nachschauen kann, ob die eigene mäjhladresse betroffen ist, ist gerade ziemlich unerreichbar. Die ganzen leute, die sonst so „sorglos“ (in wirklichkeit: verantwortungslos) sind, scheinen also doch ein bisschen besorgt zu sein, wenn sie mal selbst betroffen sein könnten.

Wer nicht warten will, bis die webseit des BSI wieder verfügbar ist und unbedingt etwas tun möchte, kann ja mal überprüfen, ob wenigstens das passwort sicher genug ist. 😉

Gut, dass es um die etik der häcker…

Gut, dass es um die etik der (meisten) häcker wesentlich besser bestellt ist als um die etik staatlicher spitzelbehörden, sonst hätte es wohl…

[…] Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das Internet-Banking nutzen. Man klickt dazu im Menü auf den Link „Internet Banking“. Ein Angreifer kann nun wegen der fehlerhaften Konfiguration des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf „Internet Banking“ geschieht. Er kann den Webserver so umprogrammieren, daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte Apache-Webserversoftware unterstützt die nötigen Funktionen bereits standardmäßig.

Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell mißbraucht werden.

…einen wirklich großen schaden bei diesem sicherheitloch gegeben.

Kein microsoft windohs mehr benutzen!

Ich finde es ja toll, dass das bundesamt für sicherheit in der informazjonstechnik so eine deutliche warnung ausgibt:

Im Internet Explorer existiert eine bisher unbekannte kritische Sicherheitslücke. Die Schwachstelle ermöglicht Angreifern, über eine manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen und zu starten. Der in der vergangenen Woche bekannt gewordene Hacker-Angriff auf Google und weitere US-Unternehmen hat vermutlich diese Sicherheitslücke ausgenutzt.

Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den Windows-Systemen XP, Vista und Windows 7. […]

Das Ausführen des Internet Explorer im „geschützen Modus“ sowie das Abschalten von Acitve Scripting erschwert zwar die Angriffe, kann sie jedoch nicht vollständig verhindern. Deshalb empfiehlt das BSI, bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.

Leider ist diese empfehlung, so wie sie vom BSI gegeben ist, völlig irreführend. Denn es ist dank der tollen idee von microsoft, den brauser tief in das betriebssystem zu integrieren, gar nicht möglich, den IE nicht zu nutzen, wenn man MS windohs benutzt. Sicher, man kann versuchen, mit einem anderen brauser zu sörfen, aber das verlagert das problem nur. Es reicht, irgendeine anwendung zu benutzen, die den IE als komponente einbindet — und das tun verdammt viele anwendungen unter windohs; selbst das hilfesystem benutzt zur darstellung der hilfetexte einen voll aufgeplusterten IE-webbrauser, und auch der dateimanager (der auch so etwas wie den desktop und startmenü zeichnet, also ständig irgendwo läuft, wenn ein windohs läuft) ist in seinem kern nichts weiter als ein IE. Vielleicht ist es für kriminelle etwas schwieriger, über diese schwachstellen einen angriff durchzuführen, aber es wird nicht unmöglich sein. Hier zeigt sich mit großer deutlichkeit der ganze wahnsinn, der mit der idjotischen microsoft-strategie für windohs 98 verbunden war. (Erinnert ihr euch noch an den „Active Desktop“?) Dadurch, dass man ein stück unnötig komplexer (und überings auch unnötig fetter) softwäjhr, nämlich einen internetz-brauser, zum kernelement des systemes machte und überall verwendete, schuf man unnötigerweise ein großes problem, das nur auf seine zeit wartete. Jetzt könnte seine zeit durchaus gekommen sein.

Was das BSI da empfieht, müsste weniger irreführend lauten: Benutzen sie bitte kein microsoft windohs mehr, es ist eine gefahr für ihre datensicherheit! Schade, dass das da nicht so deutlich steht.

Ach ja, alternativen zu microsoft windohs gibt es wirklich mehr als genug…