Ganz besonderes elektronisches anwaltspostfach des tages

Kryptografie scheint sehr schwierig zu sein, krüpplografie um so einfacher, auch bei den signaturen von ZIP-archiven im besonderen elektronischen anwaltspostfach:

Das beA lädt die Nachricht als ZIP-Datei herunter, begleitet von einer abgesetzten PKCS#7-Signaturdatei (Public-Key Cryptography Standard # 7). Diese Datei ist jedoch fehlerhaft. Prüfprogramme finden darin keinerlei Signatur und die Prüfung auf Echtheit versagt. Dies ist dem ersten Anschein nach bei allen bisher exportierten Nachrichten so […] Prüfen lässt sich nur die Signatur der PDF-Datei, was ohne weiteres gelingt, nicht jedoch die Containersignatur, die eine Echtheit des Exports nachweisen soll

Weia, haben die das verkackt! Und auf elementare funkzjonstests (zum beispiel, ob die signatur funkzjoniert) wurde vollständig verzichtet. 🤦

Hej, anwälte, wo bleibt eigentlich eure klagefreude?!

Security des tages

Ähm… benutzt hier jemand kompjuter von ASUS?

Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war. Das betroffene Live-Update-Tool wird standardmäßig auf Asus-Laptops und anderen Geräten des Herstellers installiert

Oh, da ist bei ASUS wohl der private schlüssel kopiert worden.

Security und krüpplografie des tages

Das ist ein digital signiertes PDF-dokument, das kann niemand manipuliert haben [archivversjon].

21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war […] Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht

Kurz gesagt: wenn es um die implementazjon von kryptografischen sicherheitsfunkzjonen geht, schlampen alle. Wer braucht im zeitalter der internetzkriminalität schon eine gewissheit darüber, dass ein dokument unverändert ist?

Softwäjhr-signatur des tages

Tja, ist schon scheiße, wenn der digitalen signatur einer datenschleuder wie sonie einfach so vertraut wird und kriminelle schadsoftwäjhr deshalb ohne meckern an der „sicherheitsprüfung“ von windohs vorbeikommt…

Und nein, diesmal nicht als rootkit-trojaner, der auf einer audio-CD untergebracht wird, um auf diese weise einen „kopierschutz“ zu machen. Fresst euer karma, sonie!

Digital signierte mäjhls „von“ Barack Obama…

…kann man jetzt bekwem selbst schreiben und „thunderbird“-nutzern als autentisch unterjubeln. Das geht natürlich auch mit anderen absendern, zum beispiel mit einer bank, die „wegen technischer probleme“ dazu auffordert, doch mal bitte auf einen link zu klicken und ein paar angaben zum konto zu machen. Aus nutzersicht wirkt der gefälschte absender der mäjhl echt und durch digitale signatur bestätigt…

Ich bin gespannt, wann ich den ersten phishing-versuch mit digitaler signatur sehen werde. (Vermutlich lange bevor dieser fehler im „thunderbird“ gefixt wird, denn bei der „mozillla foudation“ finanziert ja guhgell mit, und guhgell hat viel eigeninteresse daran, dass die leute ihre mäjhl über irgendwelche web-anwendungen machen…)