Security des tages

Jedes Jahr präsentieren auf der Hackerkonferenz Defcon Experten zahllose neue Sicherheitslücken. Der von Rik van Duijn und Wesley Neelen jetzt gehaltene Vortrag ist in vielen Rathäusern Europas mit großem Interesse per Videokonferenz verfolgt worden. Was dort zu sehen war, macht amtlichen Verkehrsplanern Sorge: Wie können wir unsere Verkehrsleitsysteme vor Ampel-Hacking absichern?

Das kann man weltweit von jedem Ort aus machen, man braucht nur einen Internet-Anschluss

[Archivversjon]

Diese eine und sehr einfache frage beantworte ich dem scheiß-ZDF und den verkehrtplanern in den „vielen rathäusern europas“ mit dem allergrößten vergnügen: INDEM IHR DIE VERKEHRSSTEUERUNG NICHT AN DAS SCHEIẞ-INTERNET HÄNGT, IHR VOLLIDJOTEN! UND SCHON GAR NICHT MIT IRGENDWELCHEN VERKEHRSLEITSYSTEMSTEUERNDEN DRECKSDATEN IN EINER SCHEIẞ-KLAUT!

🎃💩💣🤡🎳🤦‍♂️🤦‍♀️🤦🏿‍♂️🤦🏿‍♀️🚗🚛💥🤬

Das hauptproblem ist nicht die miese autentifizierung, wie es der ahnungslose onkel scheißjornalist beim ZDF erzählt, das hauptproblem ist, dass man solche infrastruktur einfach ans internetz hängt. Das ist dumm, unnötig, gefährlich und grob fahrlässig.

Meine fresse! Cyberwehr, bitte sofort übernehmen und die gefährlichen irren gleich mal standrechtlich erschießen, die mit ihrer selbstverschuldeten scheißdummheit eine einladung für alle destruktiven karatere und spielkinder dieser welt ausgesprochen haben! Wer solche knallköppe in seiner verwaltung hat, der braucht gar keine russen und chinesen mehr, die ein bisschen rumcybern. Aber zielt aufs herz, kameraden, zielt aufs herz. Wenn ihr auf den kopf zielt, könntet ihr das ziel verfehlen.

Aber hej, ich kriege gerade eine vorstellung, warum einige ampeln in hannover schalten, als hätte sie ein hirnloser programmiert.

Security des tages

Viele VPN-Server Pulse Connect Secure sind immer noch von einer Sicherheitslücke betroffen, die seit April 2019 bekannt ist. Jetzt hat ein Unbekannter in einem von Cybercrime-Akteuren genutzten Forum eine Liste mit 1800 IP-Adressen, Benutzernamen und Passwörtern veröffentlicht. Von denen offenbar sind über 900 immer noch einfach angreifbar […] auch mehrere Dutzend deutsche Unternehmen sind hiervon betroffen

Wozu braucht man eigentlich noch die fiesen cyber-cyber-terroristen aus russland oder china, wenn sich so viel dummheit in den unternehmen findet. Wer anderthalb jahre lang keine sicherheitsaktualisierung einspielt, obwohl ein schwerer fehler bekannt ist und gefixt wurde, ist dumm.

Cyberwehr, bitte übernehmen! Mithilfe der GSG 9 die unternehmen stürmen und die gefährlichen rechner erschießen! Der nazjonalen sicherheit zuliebe! :mrgreen:

Cyberwehr! Kameraden! Bitte übernehmen!

Bundeswehr Karriere Portal – Cross Site Scripting Vulnerability

The Vulnerability Laboratory Core APT Research Team has identified several cross site scripting vulnerabilities in a web application of the German Bundeswehr. The Bundeswehr career portal is affected.

„Cyber cyber“ des tages

Nordrhein-Westfalen hat die Zahlung der Corona-Soforthilfe vorerst gestoppt. Das Land reagiert damit auf gefälschte Webseiten […] über die vermutlich Daten für betrügerische Anträge abgegriffen wurden

[Archivversjon]

Und jetzt noch ein kleines leckerli für die freunde eines gepflegten fäjßpalms.

Der Webdesigner aus NRW suchte am 27. März über Google nach dem passenden Antragsformular. Er gab auf einer vertrauenswürdig aussehenden Webseite seine Daten ein. „In dem Moment ist mir gar nichts aufgefallen. Das ärgert mich im Nachgang auch“, sagt Ulrich. Kurze Zeit später hatte er eine vermeintlich offizielle Bestätigung im Postfach. Das Geld schien bewilligt. Nur: Die Finanzspritze war auch nach Tagen nicht auf seinem Konto

Tja, woher soll so ein „webdieseiner“ auch wissen, dass jeder mensch auf der gesamten welt das original-diesein einfach mit ein bisschen STRG+C und STRG+V und ein paar daunlohds (oder einem mirror-tuhl wie GNU wget) übernehmen, aber so bearbeiten kann, dass die daten halt woanders hingefunkt werden. Der ist ja nur dieseiner. Und wenn der ein diesein sieht, dann glaubt er sofort. Vor allem, wenn im brauser auch noch ein schlösschen an der adresszeile ist. Klar könnte man da draufklicken und sich das TLS-zertifikat mal näher anschauen, aber nachdem uns die ganzen honks jahrelang in presse und glotze erzählt haben, dass das schlösschen reicht und sein anblick unmittelbare „sicherheit“ herstellt, macht das keiner mehr. Sich einfach nur „sicher zu fühlen“ ist doch viel entspannender. 🤦

Tja, und schon ist man geschädigter in einem subvenzjonsbetrug. „Klicken sie hier für ein paar monate schlechte laune“… 🖱️

Und für welche verbrechen die voller vertrauen angegebenen daten demnächst zweitverwertet werden, wird der webdieseiner auch bald erfahren. Davon wird er nichts als laufereien, kosten und vergällte lebenszeit haben. 😦

Aber hauptsache mit webdiesein kennt er sich aus, der webdeseiner. :mrgreen:

Aber wer weiß: vielleicht hat der webdieseiner jetzt wenigstens gelernt, dass guhgell keine so gut geeignete suchmaschine ist, wenn man finden möchte, was man sucht und nicht das, was irgendwelche manipulatöre und technik-spämmer einen finden lassen wollen. Selbst dieses bing-dingens von meikrosoft liefert inzwischen bessere suchergebnisse als guhgell. Und glaubt mir: ich lobe meikrosoft wirklich ungern! Ich benutze übrigens seit jahren duckduckgo für meine web-suchen. 😉

Natürlich, praktisch und ökologisch sinnvoll

Heiko Frenzel aus Oberbayern hat beim BÜNDNIS 90/DIE GRÜNEN die offenbar über Monate hinweg vergessene Subdomain cdn.gruene.de ausfindig gemacht. Wie Frenzel berichtet, hatte ein Angreifer den Webserver missbraucht, um dort unter anderem ein E-Book mit Pr0n zu hinterlegen. Es ist nicht bekannt, wie oft das Werk über den Webserver der Grünen verbreitet wurde. Auf jeden Fall hatte Google, so fleißig wie das Unternehmen nun mal ist, das gute Stück zeitnah indiziert

Kurz verlinkt

Angela „das internetz ist für uns alle neuland“ Merkel hält in ihrem regierungsfernsehen-podkast eine ansprache zum so genannten „safer internet day“ und kennt sich erwartungsgemäß toll mit kompjutersicherheit aus. 🤦

Ich hätte eigentlich erwartet, dass so eine Ansprache dann auch nicht von der Kanzlerin kommt – wie gesagt, ich erwarte nicht, dass die alles kann und weiß, das geht schlicht nicht – sondern von dem Regierungsmitglied (=Minister, notfalls Staatssekretär), das Ahnung hat und zuständig ist. Das Problem ist: Sie haben niemanden, der Ahnung hat

Na ja, hauptsache ist ja, dass die CDU-CSU-SPD-scheißregierung jemanden hat, der sich damit auskennt, wie man lebensmittel mit einer antisozjalen bullschitt-steuer teurer macht, die ärmere menschen überpropozjonal belastet.

„Cyber cyber“ des tages

Fefe hat mal ein paar recht deutliche worte gefunden, und nein, die gelten nicht nur beim dunkelkammergericht berlin, sondern in der gesamten verwaltung in der BRD. (Außer vielleicht in münchen, wenn da LIMUX noch irgendwo im einsatz ist, aber das ändert sich ja demnächst.)

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat mal scharf hingeschaut und dabei rausgekriegt, dass diese von jornalisten begierig weitergetragene räuberpistole, dass ein saudischer prinz einen US-milljardär über sein wischofon und wanzäpp gecybert hat, doch ein kleines bisschen müffelt. Aber immerhin, die „forensische analyse“ macht viel text, um den eindruck von substanz zu erwecken:

Es ist zwar interessant zu erfahren, dass die FTI-Forensiker mittels Metalldetektoren an der Labortür überprüft wurden (Seite 8 des Berichts), aber offen bleibt nun die Frage, wie genau die ausführlichen forensischen Untersuchungen abliefen (“FTI conducted in-depth analysis of forensic artifacts from the redacted Cellebrite reports and captured network logs”, Seite 9 des Berichts – ‚FTI nahm eine gründliche Analyse der forensischen Beweismittel aus den redigierten Cellebrite-Berichten und den aufgezeichneten Netzwerkprotokollen vor‘)

Nicht alles glauben und auf fratzenbuch und twitter weitertragen, was in der presse steht! Denn das geschäft der jornallje ist nicht wahrheit, sondern wirksamkeit bei der vermarktung von reklameplätzen.

Übrigens: diese bemerkenswert nüchterne jornalistische analyse bitte beim nächsten cyber-cyber-angriff durch china, russland, nordkorea wiederholen, statt im panikmodus cyberkrieg zu brüllen und den nächsten abbau von grund- und menschenrechten mit vorzubereiten! Und das bitte nicht nur bei heise!

Cyber-räuberpistole des tages

Das Mobiltelefon von Amazon-Gründer Jeff Bezos wurde Mitte 2018 gehackt […] Unbekannt war jedoch bislang, wer das Telefon des reichsten Mannes der Welt gehackt haben könnte. Der Guardian berichtet jetzt, dass es der saudische Kronprinz Mohammed bin Salman persönlich gewesen sein soll, der die Nachricht schickte, die Bezos‘ Telefon mit „hoher Wahrscheinlichkeit“ kompromittierte

Wenn nicht der guardian die kwelle wäre, würde ich bullschitt rufen. Und selbst im guardian hat diese geschichte noch einen erheblichen bullschitt-verdacht, weil es nun einmal schwierig ist, so etwas im nachhinein festzustellen und weil ein geborener milljardär einen anderen milljardär wohl kein auge auspicken wird — jedenfalls nicht ohne grund. Und die nummer mit „schadkohd in einem video, das über wanzäpp zugestellt wird“ müffelt auch ein bisschen. Das wäre ein finanzjell sehr aufwändiger häck gewesen, für den man einen teuren zeroday-exploit verbrannt hätte. Und das alles nur, um ein paar daten von einem händi mitzunehmen? Aus eher diffusen gründen? Komm, guardian, das ist doch eine räuberpistole! Das glaubst du doch selbst nicht!

Aber sollte es sich als zutreffend erweisen, sieht man jetzt, was rauskommt, wenn man staaten wie saudi-arabien waffen (auch für den angriff auf kompjuter) verkauft: die werden eingesetzt. Ohne große zurückhaltung. Auch mal gegenüber einem einzelnen kritiker an diesem mittelalterlichen staat, in dem die henker so viel zu tun haben.

Kennt ihr den schon?

Nachdem die polizeien und die diversen polizeinahen vereine und organisazjonen jahrzehntelang mit der kirre machenden monotonie einer chinesischen wasserfolter immer nur nach noch mehr anlassloser volxüberwachung und datensammelei gerufen haben, stellen sie jetzt fest, dass man für die auswertung, aufarbeitung, dokumentazjon und strafverfolgung auch noch ein paar leute braucht, die leider fehlen.

Tja, wenn man die nadel im heuhaufen nicht findet, hilft es leider nicht, wenn man mehr heu dazukippt.

Wir dürfen gespannt sein, wann den polizeien dafür von einer fragwürdigen klitsche eine „künstliche intelligenz“ angeboten wird und wie begeistert die kompetenzfreien und überwachungsgeilen inniminis der BRD von dieser idee sein werden. Das wird zwar hinten und vorne nicht funkzjonieren, aber dafür wahrscheinlich viel teurer als mehr polizeibeamte. Und wenn es dann mal ein paar parlament-arier erwischt, dann müssen halt wieder BSI, BND, cyber-cyberwehr, BKA und bummspolizei ran! Die parlament-arier brauchen schließlich ganz spezjellen sonderschutz, wenn irgendwelche skriptkiddies cyber-cyberkriminell werden!!1!!!elf! Wo kommen wir sonst auch hin, wenn hier jeder vor kriminalität geschützt wird? :mrgreen:

„Cyber cyber“ des tages

Die anlagensteuerungen von siemens sind eine bedrohung der nazjonalen sicherheit, insbesondere in kraftwerken!

Der Truppe gelang es […] eigenen Code mit allen Rechten auszuführen, beliebige Java-Klassen zu injizieren und sämtliche Sitzungsinformationen nebst Nutzernamen und Kennungen sowie andere private Informationen im Klartext abzufragen. Von Siemens implementierte Firewalls erwiesen sich als nutzlos […] auf dieser Ebene ließen sich die Stromerzeugung starten oder stoppen, die Werte der erzeugten Energie verändern und umfangreiche Daten zu den laufenden Prozessen sammeln

Es ist sehr schwierig, aus dem verlinkten heise-artikel ein zitat rauszusuchen. Das ist so ein großes feuerwerk vollumfänglichen versagens, überall gibt es etwas zu sehen, was brennend vom himmel fallen möchte. Und ein login ist auch gar nicht so schwierig:

Gängige Login-Kombinationen wie cmadmin und cm kann man […] mit Suchmaschinen leicht finden. Bis vor Kurzem sei es auch schwierig gewesen, Passwörter zu wechseln

VERBIETET DAS FIESE HÄCKERTUHL GUHGELL!!!!1!elf!!1!

Und jetzt, BRD-cyberwehr in der Ursula-von-der-Leyen-latrin… ähm… kaserne, bitte mal übernehmen! Bevor uns noch der pöse pöse russe aus der täglichen propaganda das licht ausknipst, statt dass uns irgendwelche russen im klartext auf einer öffentlichen veranstaltung erzählen, wie unfassbar kaputt die ganze siemens-kacke ist.

Frankfurt am main wurde weggecybert…

Das komplette IT-System der Stadt Frankfurt ist aktuell nicht erreichbar […] In erster Linie sind das die Schulen in Frankfurt, die aus Sicherheitsgründen vorerst offline bleiben […] die städtische Website der Stadt Frankfurt […] Publikumsverkehr auf den Ämtern ist eingeschränkt […] Mitarbeiter an der Stadt haben keinen Zugriff auf wichtige Daten, von Mails bis Dokumenten […] „Parlis“, das Parlamentarische Informationssystem der Stadt, ist betroffen

Und, wie ist es dazu gekommen?

Am Mittwoch (18.12.2019) war eine Spam-Mail auf dem Bürgeramt Fechenheim in Frankfurt geöffnet worden […] bestehe die Gefahr, dass die Spam-Mail auch in anderen städtischen E-Mail-Accounts eingegangen und geöffnet worden sei

Aha, ein mitarbeiter der stadt frankfurt hat eine schadsoftwäjhr auf seinem arbeitsrechner gestartet, und womöglich haben das noch ein paar leute mehr getan, weil sie gewohnheitsmäßig auf alles klicken, was man anklicken kann. Dettelbach ist überall! 🤦