Security des tages

ẞißßko mal wieder!

Ganze 15 Lücken stopft der Hersteller Cisco mit seinen aktuellen Updates für Router der RV-Serie. Drei davon sind sogar mit der maximalen Gefahrenbewertung 10.0 (CVSSv3-Score) ausgezeichnet und erlauben die Übernahme der Router aus dem Netz

Wieso benutzt eigentlich noch jemand diese krüppelscheiße von ßißßko? Zumal dort echte spezjalexperten programmieren:

[…] Fehler im SSL-VPN-Modul, den Angreifer durch spezielle HTTP-Pakete ausnutzen können, um direkt Code einzuschleusen und mit Root-Rechten auszuführen

Meine fresse, einfach kohd hochladen und als root ausführen. So etwas wie ein websörver läuft doch nicht mit root-rechten!

TLS des tages

ROBOT-Angriff:
19 Jahre alter Angriff auf TLS funktioniert immer noch

[…] Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal […] Als Beleg für einen erfolgreichen Angriff gelang es, eine Signatur mit dem privaten Schlüssel von Facebooks Zertifikat zu erstellen

Weia!

Auch weiterhin viel spaß beim festen glauben an die sicherheit, die euch vom angezeigten schlösschen im brauserfenster versprochen wird! Kommt leute, der onkel jornalist hat euch doch immer wieder gesagt, dass webseits mit diesem schlösschen sicher sind. Der ist ganz großer experte und sogar jornalist, also glaubt ihm einfach!

Und vor allem: immer schön weiter irgendwelche kompjuter kaufen…

Besonders hart trifft das Problem Nutzer von ACE-Loadbalancern der Firma Cisco. Diese Geräte erhalten schon seit einigen Jahren keinen Support mehr. Im Einsatz sind sie trotzdem noch […] Vermutlich verwendet Cisco auch selbst die verwundbaren Devices für seine eigene Domain cisco.com – die Sicherheitslücke ist dort vorhanden

…bei denen andere darüber entscheiden, was für softwäjhr darauf läuft. Das prinzip kennt ihr ja schon von euren wischofonen und smartglotzen. Das ist ganz grundsätzlich eine güldene 1A extragute idee. Dann ist das mit den sicherheitsaktualisierungen auch gleich viel einfacher: einfach ein neues gerät kaufen. Kommt schon, das bisschen geld tut doch bei weitem nicht so weh wie daunlohd und installazjon fehlerbereinigter softwäjhr!

Cisco des tages

Cisco ist bei seinen geräten voll smart, einfach, schnell und mausklick:

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor

m(

Mein tipp: wenn zurzeit irgendwas damit beworben wird, dass es „smart“ ist, lasst die finger davon! Es ist nahezu immer hirnlose und gefährliche scheiße.

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll

Genau, ein administrator, der so eine werkseitig verbaute pwnage-schnittstelle für den zugriff durch das internetz und weniger vertrauenswürdige teile des firmennetzes sperrt, der hat so eine smartscheiße für unerfahrene dummanwender mit krawatte und entscheiderhintergrund ja auch sowas von nötig! Weia, dass ein aufgeblasener, kundenverachtender PR-affe von cisco so reden kann und nicht im affekt von irgendwem eine gescheuert kriegt, ist mir unbegreiflich.

Ansonsten: cyberwehr, bitte übernehmen! Der feind heißt hier ganz klar cisco! Nuke them from orbit!

Einmal das übliche, bitte…

Kommt eine verwundbare Firmware zum Einsatz, werden Cisco zufolge eingehende UPnP-Daten nicht korrekt überprüft, sodass es zu einem Speicherfehler kommen kann. Folglich könnte ein unautorisierter Angreifer die Lücke aus einem angrenzenden Netzwerk (Layer 2) ausnutzen und Router per DoS-Attacke lahmlegen oder sogar Schadcode mit Root-Rechten ausführen

Dass überhaupt noch jemand was von cisco benutzt… (ja, ich weiß!)

„Cisco“ des tages

Cisco Secure Desktop Trojaner erlauben

Das bildschirmfoto ist vom KDE-verbindungseditor und der text sicherlich eine weniger gelungene übersetzung. [via @benediktg@gnusocial.de]

Cisco des tages

Ciscos RV220W Wireless Network Security Firewall weist eine kritische Sicherheitslücke in der webbasierten Anmeldeoberfläche auf. Das Telekommunikationsunternehmen warnt, dass Angreifer aus der Ferne den Anmeldeprozess umgehen können

Aber hej, wer sich „cisco“ hinstellt, hat es gar nicht besser verdient als von jedem kiddie gehäckt zu werden! Cisco scheißt nämlich auf die kompjuter- und netzwerksicherheitsbedürfnisse seiner kunden, und zwar vollumfänglich. Und wenn sie dann mal mit einer ihrer vorsätzlich gekohdeten hintertüren in ihrer vergammelten NSA-überwachungs-drexscheiße erwischt werden, tun die so, als hätte sich der kohd von allein geschrieben. Der betrieb von „cisco“-geräten ist auf diesem hintergrund und auf der gesamten security-geschichte von produkten dieser klitsche ein deutliches indiz für verantwortungslosigkeit, dummheit und völlige gleichgültigkeit; und dafür auch noch geld auszugeben, lässt sich nur durch drogenabusus oder ein maß des schwachsinns erklären, das eigentlich geschäftsunfähig machen sollte.

Kurz: von „cisco“ kauft man nix und betreibt man nix. Es gibt alternativen. Und einige jahre, nachdem offenbar geworden ist, dass da vorsätzlich hintertüren drin verbaut wurden — nein, der kohd hat sich nicht von selbst geschrieben, sondern wurde mühevoll gekohdet — sollten die fehler alter anschaffungen längst abgeschrieben sein, so dass man das gerümpel in die technikmülltonne schmeißen kann und durch etwas von einer weniger intelligenz- und kundenverachtenden klitsche ersetzen kann.

„Cisco“, ihr seid schon längst tot. Und ich hoffe, ihr merkt es bald!

Heise-bullschitt des tages

NEIN, Heise!

Die US-gesetzlich erzwungene NSA-überwachungshelferklitsche namens „cisco“ kämpft nicht mit einem statischen passwort, sondern sie hat dieses statische passwort — das jedem, der es kennt, anmelderechte gewährt — absichtlich und planvoll eingebaut. Weder kohd noch konfigurazjonsdateien schreiben sich nämlich von selbst. Sie entfernen sich übrigens auch nicht von selbst, denn bei „cisco“ muss man einen so genannten „service-vertrag“ haben und regelmäßig dafür bezahlen, um an solche schwachstellenbehebungen zu kommen. Und das selbst bei schwachstellen, die exakt so aussehen, wie man es von absichtlich für die US-geheimdienste eingebauten schwachstellen erwarten würde — „update“ bedeutet da vermutlich nur, dass eine hintertür zugemauert und eine andere aufgestemmt wird.

Ach, könnt ihr nicht so schreiben, ist ein werbekunde von euch? Ja, so sieht es aus, das ende des letzten feigenblattes vorm jornalismus, der nunmehr nackt in seiner ganzen dämlichkeit vor dem auge des betrachters steht! Na ja, immerhin schreibt ihr heute nicht vom rätseln und analysieren… 😦

„Cisco“ ist übrigens tot. Wer von denen was kauft oder im einsatz hat, ist ein verantwortungsloser vollidjot. Warum? Darum! Ich sags nochmal: ein verantwortungsloser vollidjot ist, wer „cisco“ einsetzt. Und das schlimmste: diese aussage muss — natürlich mit gewissen abmilderungen, denn nicht jede klitsche im rechtsraum des folter- und überwachungsstaates USA ist dabei auch noch so offen kunden-, menschenrechts- und intelligenzverachtend wie „cisco“ — auf jedes produkt aus den USA ausgeweitet werden. Aber „cisco“ ist eben ganz besonders widerwärtig!

„Cisco“ des tages

Auf Cisco-Routern wurde eine Hintertür entdeckt, über die Angreifer beliebigen Schadcode nachladen können

Aber hej, leute, wenn ihr irgendwas von „cisco“ bei euch rumstehen habt, dann wisst ihr ja schon, wie das ist…

Auf einer liste von unternehmungen, von denen man niemals irgendwas kaufen sollte, steht „cisco“ nämlich ganz weit oben. Das ist denen sogar scheißegal, wenn man vier jahre offen in „ciscos“ supportforum nachlesen kann, dass da ein offenes scheunentor in allen produkten ist, ohne dass „cisco“ irgendwas dagegen macht.

Ob die NSA wohl das haftungsrisiko für cisco übernommen hat, weil so schöne hintertürchen eingebaut wurden?

Na ja, generell sind zurzeit produkte aus china [!!] vertrauenswürdiger als solche aus den USA. Habt ihr toll gemacht, ihr weltüberwacher von der NSA! Ich hoffe, dass den verantwortlichen für diese ganze scheiße der dankesorden des volkes am strick verliehen wird.

Zitat des tages

Die virtuellen Sicherheits-Gateways von Cisco sind gar nicht so sicher, wie man annehmen würde

Moment, was stand da eben? Das kann doch nicht sein… oh, das stand da ja wirklich. Bwahahahahaha! 😀

Danke, heise! Besser kann man im ton der meldung nicht mehr leidlich sachlich klingend darauf reagieren, dass eine klitsche wie „cisco“ auf allen geräten den gleichen SSH-schlüssel verwendet (und damit jeden, der irgendwie an diesen schlüssel kommt, zu root macht) und da dann auch noch was von „sicherheit“ draufschreibt. Das ist nicht mehr fahrlässig, das ist kriminell.

Aber hej, „cisco“… da hat bestimmt die NSA das haftungsrisiko übernommen.

Cisco!

Was „cisco“ in seine hardwäjhr verbaut, das sind keine hintertüren mehr. Das sind prachtvolle portale zum bekwemen eintreten, die zur erleichterung des durchkommens die dimensjonen eines scheunentores haben:

Standardmäßig vertrauen die Server einem bestimmten SSH-Key, mit dem man sich aus der Ferne mit Root-Rechten anmelden kann. Den dazu passenden Private Key lieferte Cisco bislang allerdings auch gleich mit

Ja, natürlich geht der gleiche schlüssel für alle. Kennen wir ja auch aus von fysikalischen schlüsseln: einfach in irgendeine andere tür stecken und *schlüss!*…

Wenn ihr wissen wollt, von welchen netzwerk-hardwäjhr-klitschen man auf gar keinen fall was kaufen sollte: cisco steht auf einer solchen liste weit oben. Das sind die leute, die nicht allein anfänger-„fehler“ bei ihrer gerätesicherheit machen, die nur beim hinschauen so aussehen, als hätte jemand aus der organisierten kriminalität für diesen „fehler“ bezahlt, sondern die auch richtige hintertüren einbauen und hinterher allen ernstes so tun, als habe sich der kohd für diese funkzjonalität von selbst geschrieben. Ganz übler, kunden- und intelligenzverachtender drexladen aus der kompjuterhölle!

Cisco des tages

Hej, Cisco kennt ihr doch noch! Das waren die, die unter anderem ihre drexgeräte mit einer hintertür in der firmwäjhr ausgeliefert haben, die da nicht einfach so reinkam, sondern reinprogrammiert wurde. Also ein echt lustiger laden, der einfach verrecken sollte. Diese beflissenen freunde der weltüberwacher, die ihren kunden einfach abhörwanzen mit passwortabgriffschnittstelle verkauft haben und dann so getan haben, als ob sie von der programmierung gar nichts wüssten, die gehen gerade in den hochnotpeinlichen jammermodus und beklagen sich bei der US-regierung, dass sie so nicht weiter arbeiten können, wenn auch noch die pakete mit ihren drexgeräten von der NSA abgefangen und manipuliert werden. Kann man sich kaum noch selbst ausdenken, diese völlig schambefreite und schmerzhaft dumme PR-scheiße von cisco.

Nur noch mal zur erinnerung: hier ist das „unwissen“ von cisco, und hier ist eine dauerhaft archivierte versjon eines nutzerhinweises auf die hintertür über port 32764 im cisco-supportforum aus dem jahr 2010. Man beachte die antwortzeit von vier jahren. Die antwort von seiten ciscos kam erst, als die rotzfrech verbaute hintertür durch die presse ging. Cisco? Das sind lügner, die ihre kunden für dumm halten und offen verachten. Sonst nichts. Sein geld kann man sicherlich auch woanders hintragen.

Cisco, ihr seid tot. Ihr habts bloß noch nicht gemerkt. Aber das kommt…

Brüller des tages

Och, der drexladen „cisco“ jammert, weil seine geliebte regierung irgendwie ein bisschen übertreibt. Cisco, das ist einer der drexläden, der strategischer partner der NSA mit ihren weltüberwachungsambizjonen ist.

Möge niemals mehr irgendjemand etwas von diesem kundenbescheißenden und menschenrechtsverachtenden drexladen kaufen!

Cisco, ihr seid tot. Ihr merkt es nur noch nicht. Aber das kommt.

Das animierte GIF habe ich bei einem kotzendem einhorn gefunden und einfach mitgenommen…

Unternehmen, die verrecken sollen!

Liste der „strategischen partner“ der NSA. [via Fefe]

(Richtig schade für meine wohlgepflegten vorurteile, dass äppel nicht mit draufsteht.)

Warum man nichts aus den USA kaufen sollte…

Verschwörungslink des tages:

Die NSA fängt „manchmal“ Server, Router und andere Netzwerkgeräte ab, die aus den USA verschickt werden, öffnet die Pakete und installiert Spyware, bevor sie per Post weitergeschickt werden

So so, „manchmal“… und dann irgendwelche FUD-meldungen über chinesische hardwäjhr rausrotzen, damit manchmal auch ein bisschen öfter wird. Bäh!

Übrigens, Cisco, ihr seid tot. Bedankt euch bei eurer regierung dafür! Und grüßt den pleitegeier!

Cisco des tages

In zwei Routern und einer Firewall von Cisco klafft eine Sicherheitslücke, die es Angreifern erlaubt, sich mit Administratorrechten anzumelden. Die Geräte geben die Passwörter im Quelltext des Anmeldefensters preis

Strg+U beim feierfox tippen, das ist jetzt das neue häcken!

Aber keine sorge, da wird gewohnt schnell gehandelt, wenn eine lücke so groß ist, dass ein angriff darauf für jeden neunjährigen nachwuxhäcker möglich ist. Das problem ist ja erst seit dem letzten jahr bekannt.

Hersteller rätseln und analysieren

Hallo, ihr da hinten in der karl-wiechert-allee (heise),

die ihr so beflissen wiedergebt, was „linksys“ da in einer haltung kaum noch zu übertreffener kunden- und intelligenzverachtung in die mikrofone rotzt:

So erklärte ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters Linksys, dass man sich des Problems bewusst sei und derzeit an einer Lösung arbeite

Oder „netgear“:

Im Augenblick überprüfen wir alle potentiellen Sicherheitslücken der verschiedenen WLAN-Router / DSL-Modemrouter

Oder als krönung der unverschämtheiten „cisco“:

Wenn es eine Sicherheitslücke gibt oder eine Hinweis, den wir unseren Kunden geben müssen, werden wir dies gemäß unserer Security Vulnerability Policy bekanntgeben. […] Unsere Unternehmenspolitik untersagt es, Backdoors in unsere Produkte zu installieren

Wisst ihr da hinten in der karl-wiechert-allee eigentlich noch nicht, dass sich kohd nicht von allein schreibt, sondern mühsam geproggt werden muss — selbst wenn es sich um einen undokumentierten und von den meisten kunden gewiss unerwünschten zugang zum ruhter über einen darauf laufenden, obskuren internet-dienst handelt? Da hat keine fee ihren magischen staub reingeblasen, und durch ein wunder entstand softwäjhr, da hat jemand programmiert. Bewusst. Nach vorgabe in einem pflichtenheft. Und der kohd wurde überprüft, damit er auch ja laufe. (Hallo, einen offenen port findet jeder achtjährige nachwuxhäcker mit einfach zu benutzenden programmen, und gleich bei drei großen herstellern von netzwerkhardwäjhr hat das keiner in auch nur der lausigsten kwalitätskontrolle bemerkt?!)

Und dann tritt da gleich bei drei riesenklitschen im NSA-reich USA auf dem gleichen port der gleiche dienst auf, der immerhin das auslesen von passwörtern über das internetz ermöglicht, und niemand will etwas davon wissen? Weil dieser kohd da eben… ähm… irgendwie reingezaubert wurde? Und ihr schafft es bei heise, diesen bullschitt ohne die spur einer relativierung wiederzugeben?

Ach, vergesst es einfach! 😦

Nachtrag: „cisco“-supportforum, ein eintrag vom 29. märz 2010. Aber nichts gewusst! Dieses unverschämte lügen hat ja fast schon präsidentalen karakter. Zum kotzen!