Cyber cyber des tages

Joe Biden, obermotz der USA, so: wenn ihr uns cybert, dann überfallen wir euch mit unseren armeen.

Vielleicht sollte er einfach stattdessen mal dafür sorgen, dass klitschen für ihre scheißsoftwäjhr haftbar gemacht werden. Dann hat es sich sowieso bald ziemlich ausgecybert. Und wenn softwäjhr im laufe der zeit nicht fetter und kaputter, sondern robuster und fehlerfreier wird, haben wir alle was davon. Außer meikrosoft vielleicht, außer meikrosoft und äppel. Die kommen mit ihrer scheißnummer nicht mehr durch.

Und nein, man muss so genannte „kritische infrastruktur“ nicht ans internetz hängen.

Cyber cyber des tages

China weist Exchange-Hack von sich: China hat Hacker-Vorwürfe der USA und anderer westlicher Staaten als „Verleumdung“ zurückgewiesen. Die Anschuldigungen seien unbegründet und aus rein politischen Motiven erhoben worden, sagte der chinesische Außenamtssprecher Zhao Lijian. China sei strikt gegen jede Form von Cyberangriffen, unterstütze und dulde diese auch nicht. Im Gegenzug beschuldigte der Sprecher die USA, selbst „die größte Quelle für Cyberangriffe weltweit“ zu sein

Sorry, contentindustrielle nachrichtenseit, aber für die direkte übernahme von DPA-meldungen nebst hinzufügen von reklame gibts keinen link von mir. Und ansonsten dürfte der chinesische vorwurf stimmen. So eine monströsität wie die NSA gibt es nirgends anders auf der welt.

Davon, dass zur besseren durchführung staatskrimineller cräckerangriffe schwere sicherheitslücken nicht behoben, sondern staatlich gesammelt werden, will ich gar nicht erst anfangen. Das macht unser aller leben gefährlicher.

„Cyber cyber“ des tages

Ein groß angelegter Hackerangriff auf Hunderte Firmennetzwerke in den USA zieht Kreise bis nach Europa. In Schweden waren die Kassen aller Coop-Filialen blockiert, die mit der attackierten Software gesteuert werden

[Archivversjon]

Eine apotekenkette hat es auch erwischt. Na, freut ihr euch auch alle schon so auf die abschaffung des bargeldes? Dann gibts halt keine medikamente und lebensmittel mehr, wenn mal jemand rumgecybert hat. Kann man nix gegen machen, ist ein kompjuterproblem, und jemand hat gecybert.

Wieso kassensysteme so am internetz hängen, dass man sie cybern kann, fragt da schon keiner mehr.

Bargeldloses bezahlen des tages

Ein fiese, ausbeuterische supermarktkette wie „lidl“ ist ja hipp, super, zukunft, ditschitäll und modern, und deshalb haben die jetzt bargeldloses bezahlen ermöglicht. Nein, nicht mit der karte, wie das jeder ambizjonierte kiosk macht. Das ist doch nicht modern. Mit dem wischofon natürlich. Und mit einer eigenen lidl-äpp natürlich. An der kasse händi zücken, bezahlen, rabattüberwachungspunkte gutschreiben lassen, weitergehen.

Das ist doch eine tolle sache. Wenn man die kontonummer eines anderen menschen kennt — so etwas tropft ja auch manchmal aus einer datensammlung raus und wird danach unter interessierten gehandelt — dann kann man lustig lidl leerkaufen und bezahlen tuts erstmal der andere; sicher, schnell und bekwem im lastschriftverfahren.

Dem Anschein nach richten Betrüger:innen sich Accounts bei Lidl Plus ein und aktivieren die Lidl-Pay-Option anschließend mit fremden Kontodaten, um damit einzukaufen. Woher diese Daten stammen, ist unklar – möglicherweise aus früheren Hacks von Datenbanken und Accounts bei anderen Unternehmen. Konto-Besitzer:innen halten die Buchungen zunächst oft für ein Versehen, weil sie selbst nicht bei Lidl einkaufen waren, und veranlassen Rücklastschriften, um die Beträge von ihrer Bank erstattet zur bekommen. Daraufhin meldet sich ein Inkasso-Unternehmen, das (höchstwahrscheinlich automatisch) die fehlende Zahlung anmahnt

An eine kleine überprüfung der bankverbindung haben die spezjalexpertys bei lidl offenbar nicht gedacht, als sie von irgendeiner klitsche so eine hippe äpp zusammenstöpseln ließen, und jetzt haben sie eben eine gecyberte äpp. Und ganz viele unbeteiligte leute, die gar nix mit dieser scheißäpp zu tun haben, die noch nicht einmal ein scheißwischofon haben müssen, haben jetzt den scheißärger mit dem identitätsmissbrauch, zu dem lidl die nutzer seiner scheißäpp eingeladen hat.

Nur den betrügern, denen gehts gut. Die haben alles eingekauft, was schön teuer war und haben es schnell verhökert, und schon konnten sie wieder ein paar näschen koks ziehen und ab in den puff.

Aber hej, dafür hat lidl jetzt eine total tolle idee zur verbesserung der security und zur betrugspräwenzjon:

ACHTUNG! UNBEDINGT DEN VERSTÄRKTEN GESICHTSKLATSCHSCHUTZ AUFSETZEN!!1!

Lidl verlangt von Lidl-Pay-Nutzer:innen eine „Einwilligung zur Betrugsprävention“. Sie müssen ihre eingegebene E-Mail-Adresse verifizieren und eine vollständige Post-Adresse angeben

Bwahahahaha, die mäjhladresse! Es ist ja so irre aufwändig, eine mäjhladresse zu bekommen! Selbst ziemlich unerfahrene menschen haben in weniger als fünf minuten eine weitere mäjhladresse. Da darf man nicht lachen. Hier reden experten über ernste sachen… 😂️

Und die postanschrift ist auch nicht so ein großes problem. Es gibt genug kalte, anonyme häuser, in denen man einem briefkasten ansieht, dass der mensch gerade für längere zeit nicht da ist — einfach, weil sich die scheißreklame drin ansammelt. Wenn man da einen anderen namen draufklebt und öfter mal das hochsichere briefkastenschloss mit einer büroklammer aufschlüsselt¹, wird das niemand bemerken, und man kann sogar die anschrift verifizieren. Je nach haus können auch gleich zwei oder drei namen auf einen briefkasten, damit man mehr einkaufsvergnügen hat. Wenn man die reklame danach rausnimmt, wird das keinem auffallen. Wie man in das haus kommt? Zum beispiel, indem man einfach bei allen klingelt und über die sprechanlage „reklame“ sagt².

Und was verifiziert lidl nicht? Richtig, das bankkonto³. 🤣️

Wie soll ich nur diese lachschmerzen aushalten!

¹Liebe kinder, das ist kriminell. Das macht man nicht. Lasst das!

²Noch vor vier jahren hat das jede tür geöffnet, denn da habe ich selbst mal für jemanden, der in urlaub gefahren ist, reklame ausgetragen. Ich habe ja beim wort „reklame“ gehofft, dass ich nirgends reingelassen werde. Aber die leute sind so doof. Die brauchen unbedingt das altpapier. Das mit lügen bedruckte altpapier. Und die haben nicht einmal mehr einen kohleofen, den man damit anmachen könnte.

³Wie man das macht? Zum beispiel, indem man eine kleinüberweisung auf das angegebene konto macht, und im verwendungszweck steht ein kohd, den der kontoinhaber dann in seinem benutzerkonto angeben muss, damit die zahlungsfunkzjon freigeschaltet wird. Die menschen, die da so eine tolle äpp konzipieren, scheinen in ihren analysen nicht auf solche ideen zu kommen. Die verifizieren lieber mäjhladressen. Oh, moment mal: in der ersten versjon haben sie vermutlich nicht einmal das gemacht, denn sonst wäre es wohl nicht erwähnt worden. Als ob sich bei einer langen IBAN niemals jemand vertippen würde! Als ob es keine kriminellen gäbe! Als ob es keine leute gäbe, die nicht mehr ehrlich sind, wenn sie so eine leichte schangse haben, mit einem betrug durchzukommen. Lidl so: Einfach das konto belasten! Die haben doch so einen dachschaden bei lidl, die schlafen schon im freien!

Fernkontoführung des tages

Volksbanken:
Cyber-Angreifer legen Online-Banking lahm

Da freuen sich doch alle kunden, dass die filjalen geschlossen sind, wenn da einer rumcybert! Und wenn ich mir nur überlege, wie billig es ist, so ein botnetz zu mieten und damit einen DDoS zu machen, können sich ruhig schon mal alle dran gewöhnen…

„Cyber cyber“ des tages

An der technischen universität berlin hat jemand rumgecybert, sicherlich ein russe, und denen eine mäjhl mit schadsoftwäjhranhang geschickt, der prompt geklickt und gestartet wurde. Und dann hat der trojaner riesige teile des universitätsnetzwerkes übernommen. Das war anfang mai. Leider haben die informatiker dort an der technischen universität nicht gelernt, wie man sicherungskopien macht, und deshalb gibt es für mäjhl immer noch nur notbetrieb und SAP läuft überhaupt nicht:

Da haben ja Doktoranden, die ihre Word-Dokumente einmal auf der Platte und einmal auf einen USB-Stick speichern, eine bessere Backup-Strategie!

Wie kaputt ist diese technische hochschule? Sie ist völlig kaputt:

Die gesamte Studierendenverwaltung über SAP sei nicht erreichbar, hatte Gabriel Tiedje vom Allgemeinen Studierendenausschuss (AStA) zuvor im Inforadio beklagt. Ohne die Online-Prüfungsanmeldung und den Zugriff auf Zeugnisse könnten Studierende das Semester nicht abschließen, Absolventen sich nicht bewerben oder zum Master bei anderen Studiengängen anmelden. Man arbeite daran, um mit anderen Universitäten Übergangslösungen zu finden

Weia!

Aber es glaube niemand, dass dort gar nix mehr läuft:

Aber Gendersternchen können sie noch

Das scheint ja auch das wichtigste an der universität zu sein…

Ach ja, zur ergänzung noch das heiseforum, aber bitte vorher tischkanten aus gebissnähe entfernen:

Ja, an der TUB wurde vor ein paar Jahren Mail auf ausschliesslich Exchange (-> Windows) umgestellt. Nicht, weil die vorherige (linux-basierte) Loesung nicht funktionierte, sondern weil aus der – insbes. hoeheren – Verwaltung der Ruf lauter wurde, mit nur einem Client nicht nur Mail zu lesen, sondern auch die Kalender zu verwalten, die Kontakte, Kurznachrichten an die Sekretaerin im Nebenzimmer zu schicken, alle Dokumente zu speichern und darauf eine Volltextsuche durchzufuehren, und schliesslich auch noch den Client zum Kaffeekochen und Hund-Gassi-fuehren zu benutzen. Nicht, dass das jemand m.W. wirklich BENOETIGT haette. „Haben wollen“ […] einer Professorin fuer Gender-Studies zu erklaeren, dass das, was sie sich da vorstellt, halt nicht geht, fuehrt eben nur zu lautem Geschrei, das sei anti-*, misogynistisch, und entsprechenden Beschwerden beim Fakultaetsrat, akademischen Senat, Praesidium. Insbesondere, wenn das IT-Techniker, das da erklaert, zufaellig einen Bart traegt […] Derzeit arbeitet man – mit Hilfe eines externen Sicherheits-Dienstleisters – daran, die Systeme alle wieder (nach Neu-Aufsetzen) genau so wieder in Betrieb zu nehmen

Weia! Da treffen halt spezjalexpertys die entscheidungen.

Cyber cyber!

Die Verlagsgruppe Madsack ist offenbar von Ransomware befallen worden. Laut einem Medienbericht deutet eine interne Mail des Verlags auf eine Infektion mit dem Erpressungstrojaner Nefilim hin. Ein Sprecher von Madsack erklärte heise online auf Anfrage lediglich, dass es am Freitag „zu einem Cyberangriff auf die Computersysteme der Madsack Mediengruppe“ gekommen sei

Das wort „cyberangriff“ klingt ja auch viel epischer als „einer unserer mitarbeiter klickt auf alles aus dem internetz, was er im posteingang findet und unsere administratoren schaffen es nicht, den dadurch verursachten schaden einzugrenzen“. Müsst ihr verstehen: für contentindustrielle scheißjornalisten ist mäjhl mit link oder anhang, wo sich gar nix von selbst aktivieren kann, schon ein cyber-cyber-angriff. Nach dem maßstab werde ich aber auch öfter mal angegriffen — und wehre das ab, indem ich einfach nicht in mäjhl klicke und schon gar nicht irgendwelche anhänge von unbekannten öffne. Und unbekannt ist jeder, dessen mäjhl nicht mindestens digital signiert ist, denn die absenderadresse einer mäjhl zu fälschen, ist eine fingerübung für ein verspieltes kind. Und hey, wenn ich so etwas lese…

Auch vom Austausch von Daten via Outlook solle man absehen

…bleibt vom „cyber cyber“ nur übrig, dass die kompjutersicherheit bei madsack einfach nur scheißegal ist. Vermutlich schon seit jahrzehnten. Denn sonst würde man meikrosoft autlukk nicht benutzen. Warum nicht? Weil der scheiß eine erhebliche sicherheitsgeschichte hat, die nix gutes erwarten lässt. Außer, man ist dummgläubig und verwexelt reklame mit der wirklichkeit. Ach ja, sind ja jornalisten und presseverleger… 🤭️

Übrigens: ein dank an die autoren aus der karl-wiechert-allee, dass sie das wort „cyberangriff“ in anführungszeichen gesetzt haben. Ich hätte ja noch „so genannter“ davor geschrieben, damit es auch weniger lesekundigen menschen klar wird, was für ein bullshitt hier mal wieder rausgeblaht wird.

Aber genug spott, da hinten fressen ein paar leute gerade scheiße. Denen, die jetzt versuchen, das ohne ihr verschulden entstandene problem einzugrenzen, wünsche ich jedenfalls viel erfolg dabei!

„Sicheres öffnen mit digitalem hokuspokus“ des tages

Das digitale Ticket soll ein eindeutiger Nachweis sein, dass die Person, die es am Arm trägt, einen frischen negativen Corona-Test hat. Damit darf sie in Tübingen einkaufen, ins Theater oder ins Straßencafé. Jetzt hat ein 13-Jähriger sich selbst ein Band gebastelt. Beim Test mit dem SWR hat es funktioniert

[Archivversjon, link via @benediktg5@twitter.com]

Und keine sorge, ist alles auch nicht weiter schlimm:

Die Tübinger Pandemiebeauftragte Lisa Federle zeigt sich eher unbeeindruckt: Man könne vermutlich alles fälschen

Na, wenn das so ist! 🤦‍♂️️

„Cyber cyber“ des tages

Wie fährt man einen angriff gegen päjpäll, ama-zone, äppel, meikrosoft, schoppifeist oder ubel? An sich war das ganz einfach: Wenn man wusste oder erraten konnte, wie die verwendeten biblioteken heißen, legte man einfach in den üblichen bibliotekslagerstätten im internetz gleichnamige, aber mit höherer versjonsnummer an, und schon werden die in der den lokalen entwicklungsumgebungen vorgezogen — und man konnte dort beliebigen kohd ausführen lassen. Weia!

Auch weiterhin viel spaß mit dem aufgeblähten blähkohd des 21. jahrhunderts mit seinen paarhundert abhängigkeiten zu externem kohd! Egal, ob maven, pip oder npm, die damit hereingeholte komplexität kann ein echtes security-problem werden. Und nein, cpan ist auch nicht besser. Gruß auch an die ganzen javascript-entwickler, die lieber ein ganzes paket aus einer nicht kontrollierten kwelle (mit möglicherweise zunächst halb unsichtbaren, aber monströsen abhängigkeiten, die dann für jahrzehnte im projekt bleiben, weil niemand laufenden kohd anfassen will) dazuladen, bevor sie eine eigene zeile kohd schreiben. Ja, es geht gar nicht so selten nur um eine einzige verdammte zeile, die nicht einmal schwierig zu tippen wäre…

Ich bin zu erwaxen für diese scheiße!

„Cyber cyber“ des tages

Stellt euch mal vor, irgendwelche cräcker cräcken eine wasseraufbereitungsanlage und pumpen ungesunde mengen ätznatron ins trinkwasser, weil es dafür halt eine pumpe gibt. So wie in florida [archivversjon]

Hat da etwa jemand die anlage ohne zwingenden grund ans internetz gehängt und damit jedem hackekind zur verfügung gestellt? Schade, dass man für solche fahrlässigkeiten mit massenmordpotenzjal noch nirgends auf dieser kranken welt in den knast kommt! Und schade, dass die scheißpresse solche fahrlässigkeiten mit massenmordpotenzjal noch nicht mit unmissverständlichen worten als das brandmarkt, was sie sind: verantwortungsloser und verbrecherischer wahnsinn.

„Auch das noch“ des tages

In zwei Gesprächsrunden befasste sich das am Freitag zu Ende gegangene Weltwirtschaftsforum mit dem Thema, ob es neben der Coronavirus-Pandemie auch eine Cyberpandemie gibt und was dagegen zu tun sei. Die entschiedenste Antwort lieferte dabei die Geschäftsführerin von Australiens Organisation AustCyber, Michelle Price, die unterstrich: „Wir leben schon längst in einer Cyberpandemie“

Aber ich will die frage, die da auf dem weltwirtschaftsforum aufgekommen ist, gern beantworten: indem ihr damit aufhört, überkomplexe softwäjhr einzusetzen und damit anfangt, bei jedem softwäjhreinsatz daran zu denken, dass die funkzjon der softwäjhr analysierbar bleiben sollte. Ach, ihr wollt lieber „künstliche intelligenz“ mit angelernten neuronalen netzwerken machen und auf den arbeitsplätzen weiterhin offißß-produkte haben, in die ein halber räjträjßßer für wordart integriert wurde? Na, dann wünsche ich euch noch viel spaß mit eurer cyber-cyber-pandemie! Könnt euch und eure scheißkompjuter ja mit schlangenöl einreiben und fest daran glauben, dass es wirkt! 😁️

Mit trojaner abgeschossen: funke mediengruppe

Trojaner-Angriff:
Ransomware legt Funke Mediengruppe lahm

Unbekannte verschlüsseln Systeme des Verlags von WAZ und Berliner Morgenpost, Cyber-Experten der Polizei haben die Ermittlungen übernommen

Cyber cyber! Hatten die keine datensicherung? Ein bisschen licht auf diese naheliegende frage wird im heiseforum geworfen:

Die Entscheidung, auf ein Backup-System zu verzichten, fiel aus ökonomischen Gründen. Die Wahrscheinlichkeit eines völligen Datenverlustes wurde von führenden Experten (= der BWL-studierte GF) als vernachlässigbar gering erachtet

Mit „GF“ ist übrigens der geschäftsführer gemeint, falls jemand das nicht sofort versteht. Und mit „BWL“ ist bullschitt, wahnsinn und leichthirnigkeit gemeint, und das kann man an den BRD-universitäten studieren, als wäre es eine richtige wissenschaft.

Na, dann hoffe ich mal, dass es mit BWL-studierten technikspezjalexperten in die insolvenz geht! Das muss doch endlich mal ein nachteil werden, wenn man dumme leute dafür hoch bezahlt, dass sie kenntnislos technische entscheidungen treffen.

Keine datensicherung, kein mitleid. Nur vielleicht noch einen verrosteten groschen für das frasenschwein:

„Wir arbeiten mit Hochdruck an der Lösung.“ […] „Alle Teams arbeiten mit Hochdruck an der Lösung und Beseitigung des Problems.“

Tja, hättet ihr mit intelligenz gearbeitet, wäre das gar nicht erst passiert. Aber ihr musstet ja mit BWL-spezjalexperten arbeiten. Und selbst jetzt ist gründlichkeit ein besserer ratgeber als druck.

Was sind die aufgaben der geheimdienste?

Moment mal, die sind schnell aufgezählt: informazjonssammlung, spionahsche, sabotahsche, p’litische morde, propaganda und cyber-cyber-krieg gegen die fiesen, aus russland finanzierten impfgegner führen [archivversjon, link geht auf einen englischsprachigen text]…

Ich weiß ja nicht, wie es auf der lustigen insel ist, aber hier in der BRD haben wir keinen einzigen russen gebraucht, um unsere impfgegner zu züchten. Die scheißgrünen, die scheißesoteriker, die scheißfundikristen und die scheißantroposofen haben da völlig ausgereicht — vor allem, nachdem sich immer wieder scheißjornalisten gefunden haben, die das vorwissenschaftliche weltbild dieser leute einfach als köder an der reklameangel mit druckerschwarzem stempel wiedergegeben und „gesundheit“ oder „ernährung“ drübergeschrieben haben, damit auch der letzte mensch das denken verlernt.

Machen sie sich mal frei!

Das „gesundheitsportal“ von bummskrankheitsminister Jens Spahn liefert nicht nur alle seine nutzer an die größte privatwirtschaftliche überwachungs- und datensammelunternehmung guhgell aus, es strotzt auch noch vor sicherheitslücken, bis dahingehend, dass dritte drüber schadsoftwäjhr verteilen konnten.

Als ob corona nicht schlimm genug wäre!

So schade, dass diese bummsregierung niemanden zu kennen scheint, der eine webseit machen kann… 🤦‍♂️️

Aber müsst ihr ganz fest dran glauben, dass diese bummsregierung und genau dieses krankheitsministerjum unter Jens „kompetenzvermeidungskompetenz“ Spahn alles total sicher hinkriegen, wenn ihr von Jens Spahn und seinen stinkenden scheißkomplizen dazu gezwungen werdet, eure gesundheitsdaten in form der „elekotronischen pazjentenakte“ auf irgendwelchen kompjutern dieser bummsregierung vorzuhalten! Oder vielleicht auch bei guhgell, amazone oder meikrosoft, die sich bestimmt schon in der lobby vordrängeln und erzählen, wie toll sie dieses problem lösen können. Aber ganz fest müsst ihr dran glauben! 👨‍🎨️📣️

Da-da-digitalisierung des tages

Schon nach fünf Minuten Suche fielen dem Sicherheitsforscher Heiko Frenzel zahlreiche Lücken der Webseite der CSU regelrecht ins Auge. Genauer gesagt der Seite der CSU-Landtagsfraktion. Den Umgang der Partei mit sensiblen Daten, FTP-Zugängen u.v.m. beschreibt Frenzel als ein „Worst Case Szenario“, wie er auf seinem Blog schreibt. Die Admins hatten dort ungeschützt ca. 800 verschiedene Zugangsdaten unverschlüsselt hinterlegt […] Die Passwörter einiger Personen sollen dabei überaus wenig einfallsreich gewesen sein. Damit hätten Cyberkriminelle Zugriff auf weitere Bereiche erhalten können. Das Passwort von Markus Thomas Söder, dem Ministerpräsidenten Bayerns, soll dabei eben keine löbliche Ausnahme dargestellt haben

Cyber! Cyber!

Fefe des tages

Auch Fefe hat ein paar wörtchen zu diesem „schadsoftwäjhrangriff“ auf die „software AG“ gefunden:

Ja aber echt mal! Dieser ganze Security-Scheiß hält doch nur auf bei den ganzen Innovationen, für die die Software AG berühmt ist! All die hochinnovativen Produkte, die die so haben! Ihr wisst schon! Sowas wie… äh… hey was machen die eigentlich? Früher haben die mal eine Datenbank namens Adabas, die dann eines Tages SAP kaufte, um das Überleben der Software zu sichern. Mit der Kohle hat sich die Software AG dann umorientiert und macht jetzt „Enterprise Integration“ und „Internet of Things“. Genau die Felder, auf denen man Security offensichtlich nicht braucht. Das bremst nur.