Wie man an daten einer „kompjutersicherheitsfirma“ kommt…

[…] konnten sie zumindet einige Stunden lang auf das Verzeichnis www.denuvo.com/fileadmin/ zugreifen, indem sie schlicht die URL in ihrem Browser eintippten. Dort fanden sie neben diversen Zugriffs-Logs auch eine 11 MByte großes Textdatei namens Ajax.log. In dieser waren Kontaktanfragen aus dem Jahr 2014 gespeichert, unter anderem von Mitarbeitern von Capcom, TaleWorlds, Dontnod, Microsoft und Google

Erfreulicherweise hat heise onlein diese allzu alltägliche tätigkeit in seinem artikel weder einen häck noch einen cräck genannt. So etwas ist ja auch nicht erforderlich, wenn die daten einfach zum weltweiten zugriff im web veröffentlicht werden… :mrgreen:

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

„Cloud“ des tages

Gut, bei github und gitlab redet keiner von „cloud“, aber es ist natürlich die gleiche idee: legt alles irgendwo auf den rechnern anderer leute ab. Ist nur scheiße, wenn man kurz die sonne scheint und sich die wölklein auflösen:

Gegenwärtig ist der Softwareprojekt-Hosting-Dienst GitLab.com nicht erreichbar. Der Grund liegt offenbar darin, dass einer der in den Niederlanden beheimateten Administratoren des Systems gestern einen leeren Ordner entfernen wollte, da er in ihm den Grund für Replikationsprobleme der zum Einsatz kommenden PostgreSQL-Datenbank vermutete. Der Admin war jedoch auf einem anderen Computer angemeldet, als er dachte, wodurch er wohl statt des Ordners die gesamte Produktionsdatenbank gelöscht haben muss

Huuups! 😀

Na, die werden aber hoffentlich bäckups haben…

Leider versagten in der Folge anscheinend auch etliche Backup-Mechanismen. Das Backup der PostgreSQL-Datenbank konnte zum Beispiel nicht zum Laufen gebracht werden, da die Binaries zum Starten nicht mehr mit der aktuellen Version kompatibel waren […] Auch das Testen der Datenwiederherstellung scheint in jüngster Zeit stiefmütterlich behandelt worden zu sein

Arrrrgh! 😦

Ich wünsche den armen schweinen von admins eine störungsfrei funkzjonierende kaffeemaschine. Könnt ja ein bisschen singen:

Yesterday
All those backups seems a waste of pay
Now my database is gone away
Oh yesterday came suddenly… :mrgreen:

Jetzt aber genug des spottes! So ein fehler kann wirklich schnell passieren, denn ein xterm sieht aus wie das andere (deshalb hat man meist den hostname im prompt, um überhaupt eine schangse zu haben), und wenn dann auch noch bimmeling ein telefon klingelt und man zwischendurch etwas anderes macht, dann geht die eingabe schon einmal direkt und ohne umweg über die augen aus dem kopf des admins ins falsche xterm. Und dass die zurückspielbarkeit eines bäckups nicht so regelmäßig überprüft wird, wie das erforderlich wäre, ist leider ein standard. Solche sicherheitsmaßnahmen kosten geld, bringen aber keinen umsatz, so dass man den profit erhöht, wenn man daran spart. Ich bin mir sicher, dass die daten in den nächsten stunden mit der brechstange wiederhergestellt werden, aber nervenschonend wird das für die admins nicht. Die waten gerade durch scheiße.

Spezjalexperten in enterprise-kwalität bei der „domainfactory GMBH“ m(

Achtung, hier der goldene facepalm des monats, leider mit dem zwitscherchen als primärkwelle:

Tweet von @tryvann: "Registry Expert / Senior Systemadministration" von @DomainFactory fragt nach Private Key um die Zertifikatsausstellung abzuschließen. WTF?!

Auch die weiteren S/M-kommunikazjonsleistungen der spezjalexperten von der „domainfactory GMBH“ — hier auch als bildschirmfoto, damit niemand zum träckenden zwitscherchen rübermuss, das ohne javascript nicht läuft — zeugen nicht gerade von kompetenz und einsicht.

Wer nicht versteht, wo das problem liegt: ein private key heißt so, weil er nicht in fremden besitz kommen darf. Das ist grundlage moderner kryptoverfahren. Den gibt man nicht heraus. An niemanden. Und es ist auch niemals für irgendeine dienstleistung erforderlich.

Wer zur abgabe eines private key auffordert, ist entweder völlig inkompetent oder ein riesengroßes arschloch mit sinistren absichten. Beide möglichkeiten sind übrigens keine empfehlung, kunde bei der „domainfactory GMBH“ zu werden, ganz im gegenteil. Wäre ich dort kunde, würde ich meinen vertrag kündigen, nachdem mir so eine sache auch nur halbwegs gesichert zu ohren gekommen ist, und zwar fristlos, weil jedes vertrauen in den vertragspartner unrettbar zerstört wurde. Das ist keine kleinigkeit, es handelt sich mindestens um nicht vorhandene kernkompetenzen für deren vertragserfüllung oder sogar um einen versuch, material für kriminelle manipulazjonsmöglichkeiten mit irreführenden aussagen zu beschaffen.

Habe ich schon gesagt, dass ich davon abrate, kunde der „domainfactory GMBH“ zu sein.

Gut, dann habe ich ja das wichtigste gesagt.

Adobe des tages

Am 12. Januar hat Adobe mit einem automatischen Sicherheitsupdate für Adobe Acrobat bei annähernd 30 Millionen Chrome-Nutzern ein Plug-In für Googles Browser installiert, in dem eine heftige Schwachstelle steckt. Lockt ein Angreifer einen Chrome-Nutzer auf eine präparierte Webseite, kann er auf dem Gerät seines Opfers über eine Cross-Site-Scripting-Lücke beliebigen JavaScript-Code ausführen

Na, das sind doch sicherheitsaktualisierungen! Warum soll man dem anwender auch überhaupt eine auswahl lassen, ob er so eine brausereinstöpselscheiße überhaupt haben will? Das ist so nuller jahre, den besitzer des kompjuters zu respektieren, das ist nix mehr für die generazjon wischofon und windohs 10. :mrgreen:

Und wozu sollte man so einen schrott überhaupt brauchen. Das ist eine lösung ohne problem. Es gibt standard-druckertreiber, die als PDF exportieren. Der müll wird nicht benötigt, heimlich und ohne rückfrage installiert und macht eine hintertür auf dem rechner auf. Man darf vermutlich keine softwäjhr mehr aus den USA installieren, die werden ja gerade wieder great again.

Kwalitätsjornalisten bei der arbeit

Heute erklärt uns mal spiegelonlein, wie der seriöse, fäjhknjuhs-freie, leistungsschutzrechtgeschützte kwalitätsjornalismus aussieht, der im zeitalter von fratzenbuch und zwitscherchen um werbeplatzvermarktung buhlt:

Heute Vormittag wurde in Karlsruhe das Urteil des Bundesverfassungsgerichts im NPD-Verbotsverfahren verkündet. Nachrichten dieser Tragweite veröffentlicht SPIEGEL ONLINE als sogenannte Eilmeldungen. -- Wie kam es dazu, dass die Nachricht mit der falschen Schlagzeile (Bundesverfassungsgericht verbietet NPD) veröffentlicht wurde? -- Als der Vorsitzende des Zweiten Senats, Andreas Voßkuhle, zu reden begann, zitierte er zunächst den Antrag auf das NPD-Verbot. Der Antrag wurde von uns versehentlich mit dem - tatsächlich anderslautenden - Urteil verwechselt.

Ich wünsche den medien der contentindustrie auch weiterhin viel erfolg bei der vermarktung von einblendmöglichkeiten für die lüge der reklame!

Nachtrag: zeitonline wollte auch gaaaaanz schnell sein!

Staatstrojaner des tages

Stell dir mal vor, du stehst auf möglichst junge sexualpartner, die bullen haben deinen lieblingssörver aus dem darknet gepwnt und dir eine schadsoftwäjhr auf deinen rechner gespielt, die dich identifizierbar gemacht hat, lassen dich aber nicht weiter strafverfolgen, weil sie sonst ihre kwelltexte offenlegen müssten und ihnen der „schutz“ ihrer eigenen schadsoftwäjr wichtiger ist als der schutz irgendwelcher kinder durch die rechtsdurchsetzung gegen straffällige pädofile.

Wenn ich ein sexuell missbrauchtes kind wäre, bekäme ich da mordlust. Und zwar gegen polizisten.

Übrigens, nur am rande bemerkt:

Auf Playpen wurden dem FBI zufolge Missbrauchsdarstellungen von Kindern getauscht und gehandelt, bevor die Seite von den Behörden abgeschaltet wurde.

Ein warmer dank an golem, dass sie dort (hoffentlich bewusst) nicht von pornografie sprechen wie sonst fast der ganze rest der scheißjornallje! Pr0n wird immer noch von erwaxenen menschen gemacht, sei es wegen der lust oder wegen des geldes oder beides, und nicht von ausgelieferten, wehrlosen, unreifen, leicht missbrauchbaren kindern. Darstellungen sexuell ausgebeuteter kinder haben nix mit pr0n zu tun. Es wird höchste zeit, die vorsätzlich psychomanipulative und irreführende ausdrucksweise einer frau von der Leyen im stoppschildzensurfeldzug vollständig abzulegen.

Und noch eine datenschleuder

Die elbfilharmonie in hamburg hat ein paar daten veröffentlicht:

Aufgrund einer Schwachstelle konnte im Grunde jedermann auf bereits gekaufte Tickets zugreifen und diese einfach herunterladen. Die Elbphilharmonie prüft derzeit, ob und wie oft das passiert ist

Aber wollen wir mal froh sein, dass die elbfilharmonie inzwischen eröffnet wurde… :mrgreen:

Und angesichts der tatsache, dass jede, jeder und jedes bewohner*in hamburgs da einige hundert øre seiner steuergelder drin versenkt hat, während auch in hamburg die schulen vor sich hin verschimmeln und zeugnis davon ablegen, worauf es der p’litkaste in der BRD wirklich ankommt, ists doch nur gerecht, dass es die eintrittskarten kostenlos gibt. 😈

Und nein, die grob fahrlässige datenschleuderei — völlig offen veröffentlichte eintrittskarten, die ohne besonderes häcking und ohne vertiefte kenntnisse von jedermann und jedefrud durch ändern von URI-paramtern runtergeladen werden können — wird keinerlei konsekwenzen haben. Insbesondere wird es nicht zu einer haftung gegenüber menschen kommen, die eine der von der elbfilharmonie durch programmierpfusch selbst ausgegebenen, doppelten eintrittskarten für viel geld (gern auch mehr als tausend øre, ist ja was fürs volk) irgendwo gekauft haben. Sind ja nicht diese gefährlichen fäjhknjuhs, die man so sehr mit allen mitteln bekämpfen muss, und sei es, dass man scheiß-aufs-grundgeschwätz eine zensur durchsetzt; es ist ja nur die ganz normale scheiß-auf-die-kunden-verantwortungslosigkeit beim betreiben von geschäften im internet. Wer davon betroffen ist, bleibt in der BRD immer auf seinem schaden sitzen. Denn sonst „wird“ die BRD noch zum digitalen entwicklungsland, und das wollen wir doch nicht:mrgreen:

Ach ja, eines noch: programmiert wurde das übrigens von denen hier:

Als inhabergeführte Softwaremanufaktur entwickelt spiritec ein breit gefächertes Angebot an hochwertigen Softwarelösungen und maßgeschneiderten Produkten

Weia, „manufaktur“. Ich will mal hoffen, dass die in wirklichkeit modernere produkzjonsverfahren als spätmittelalterliche handarbeitsteilung haben, so irgendwas mit tastaturen, kompjutern und datenbanken. Hirnlösendes reklamegeschwätz von euren feinden, den reklameheinis! (Immerhin haben sie nicht „manufactur“ geschrieben, um es noch „hipper“ aussehen zu lassen…)

Aber was ich eigentlich sagen will: Die scheinen ja geradezu ein abo auf projekte mit dummer staatskohle abgeschlossen zu haben! Vermutlich haben sie gute freunde in p’litik und verwaltung, denen sie öfter mal ein küsschen geben. Oder auch zwei. :mrgreen:

(Davon, dass diese webhonks auf ihrer tollen unternehmenswebseit keine altmodischen links mehr setzen und dass man deshalb ohne javascript nix mehr wirksam anklicken kann, will ich gar nicht erst anfangen. Die machen bestimmt auch barrjerefrei und sicherheit und blahblahblah… lieber insolvenzverwalter, walte deines amtes!)

Telekomiker des tages

Sagt der scheff: „Weia, ist uns da eine große scheiße passiert. Wir haben 200.000 SIM-karten an einen toten obdachlosen verkauft, und jetzt hat sich rausgestellt, dass es terroristen waren“. Sagt der PR-lügner: „Moment, ich habe eine idee. Ich rotze einfach eine PResseerklärung raus, die so tut, als seien wir für die terrorbekämpfung zuständig und verliere kein wort darüber, dass das niemanden bei uns jemals aufgefallen ist“.

Und in der tat, die jornallje (einschließlich heise onlein) bringt die PResseerklärung und stellt keine doofen fragen an einen wichtigen anzeigenkunden… 😦

Russische häcker des tages

Habt ihr ja alle mitgekriegt, dass die pösen russischen häcker einen cyber-cyber-angriff auf die stromversorgung der hl. vereinigten staaten eine teils von nordamerika versucht haben. Tja, das waren gar nicht die russen:

Wie die Zeitung nun erklärt, wurde der Alarm ausgelöst, als ein Mitarbeiter des Burlington Electric Departments seinen E-Mail-Account bei Yahoo geöffnet habe. Das sei im System als Zugriff auf eine verdächtige IP-Adresse gewertet worden, die in Verbindung mit dem mutmaßlichen russischen Hackerangriff auf die Demokratische Partei stehe

Bwahahahaha!

Cyber cyber des tages

Wenn das fliegen — das ja aus nicht nachvollziehbaren gründen immer noch billiger als das bahnfahren ist — doch einmal zu teuer ist, haben die ticketsysteme ein tolles funkzjonsmerkmal, nämlich die flugmöglichkeit auf kosten anderer leute. [Dauerhaft archivierte meldung]

Man brauche nicht einmal ausgeprägte Hacker-Qualitäten, um sich so Freiflüge zu besorgen […] Aber wo ist die Sicherheitslücke? Flugtickets verfügen in der Regel über einen sechsstelligen Buchungscode. Mehr nicht. „Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen – und zwar das Passwort“, sagt Nohl. Sobald Passagiere einen Flug gebucht haben, wird ihnen diese sechsstellige Kombination mitgeteilt. Soll später die Buchung verändert werden, um einen Mietwagen ergänzt zum Beispiel, müssen Passagiere an keiner Stelle ein Passwort eingeben. Sie weisen sich mit ihrem Namen und diesem Code aus […] Automatisiert kann ein Hacker das in kürzester Zeit abfragen, der Computer fragt sozusagen immer wieder nach, ob er die richtige Kombination aus Großbuchstaben, Ziffern und Namen gefunden hat. Das Buchungssystem bejaht oder verneint – wird aber offenbar auch erstmal nicht stutzig, wenn diese Abfrage millionenfach vom selben Rechner aus geschieht […] Amadeus wirbt damit, dass ihre Systeme im Jahr 2015 insgesamt 747 Millionen Passagiere bedient haben. IT-Sicherheitsforscher Nohl zufolge, der das System seit Monaten analysiert hat, vergibt Amadeus pro Tag ein bis zwei Millionen Buchungscodes für Flugreisende. „Und wir wissen ziemlich genau, welche Nummern das sind, weil sie fortlaufend vergeben werden.“

Das ist ja wie weihnachten!

Security des tages

Mac-Passwort lässt sich über Thunderbolt auslesen

Mit Hardware von der Stange kann ein Angreifer in rund 30 Sekunden das im Klartext vorliegende Passwort abgreifen und so Apples Festplattenverschlüsselung FileVault überwinden, um auf alle Daten zuzugreifen

Ich tippe auf eine vorsätzlich offen gelassene hintertür für die horch- und morddienste der vereinigten staaten eines teils von nordamerika. Wäre ja schlimm, wenn man verschlüsselte daten nicht lesen kann.

Windohs zehn! Jetzt noch sicherer!

Kein Internet:
Nach Windows-Update weltweit Computer offline

Bwahahahaha!

Das problem tritt auf der ganzen welt auf? Außer in deutschland? Kwatsch, die ganzen deutschen, die kein internetz haben, hängen nur immer noch in der warteschleife der hotlein ihres proweiders und hören in einer endlosschleife die teuerste fahrstuhlmusik der welt, und deshalb kriegt das hier keiner mit…

Bwahahahaha!

Übrigens, leute: es gibt eine alternative zu windohs zehn. Nehmt einfach windohs sieben, wenns windohs sein muss! Das installiert sich schnell und schmerzlos und läuft eigentlich sehr brauchbar. Oh, ihr wisst nicht, wie man das installiert…

Bwahahahaha!

Oh, ihr könnt gar nix anderes mehr installieren? Wegen der UEFI-secure-boot-kackscheiße, die ihr bei neueren rechnern gar nicht mehr abschalten könnt? Das war doch eine tolle idee von meikrosoft. Da seht ihr mal, wie „secure“ das jetzt geworden ist! Keine ursache, bedankt euch einfach bei meikrosoft!

Bwahahahaha!

Und, habt ihr den auch schon gelesen, ihr opfer? Den dummbösen witz da ganz am ende des artikels? Wo meikrosoft euch einen gut-gemeinten rat-schlag gibt, was ihr tun könnt, wenn ihr jetzt gerade kein internetz mehr habt?

Einige Kunden haben uns von Schwierigkeiten mit der Internetverbindung berichtet. Eine Support-Anleitung findet sich in unserem Hilfeforum

Bwahahahaha! Kannste dir gar nicht selbst ausdenken, sowas! „No keyboard detected, press any key“. Ganz großes Kino!