Der Schwerdtfegr-beta-kompetenzpreis…

Der Schwerdtfegr-beta-kompetenzpreis geht an die partei „freie wähler“ in bayern, die mit einer kompetenzsondergroßleistung in sachen sörversicherheit glänzten:

Die Freien Wähler Bayern haben nach der Landtagswahl am vergangenen Sonntag ungewollt die Zugangsdaten für die MySQL-Datenbank ihrer Website veröffentlicht. Wohl auf Grund des großen Stimmenzuwachses bei der Wahl kam es auf der Seite der Partei zu einem Besucheransturm, dem der Webserver offensichtlich nicht gewachsen war. Das resultierte in einer Fehlermeldung durch Typo3, dem Content Management System der Seite, in der auch die Zugangsdaten zum MySQL-Server des Backends auftauchten […] Auf dem Server kommt zum Teil Software zum Einsatz, die anscheinend seit Jahren nicht mehr gepatcht wurde […] möglich, sich mit den MySQL-Zugangsdaten in das CMS der Webseite einzuloggen und dessen Benutzerkonten und Passwort-Hashes auszulesen […] Zugang zu allen auf dem Server gespeicherten Dokumenten

Übrigens: typo 3 gibt nicht das datenbankpasswort aus, nicht einmal, wenn man das debug-flägg setzt. Die haben da offensichtlich schrott-addons drin verbaut, die eigene mysqli_connect()s aufgemacht haben, statt die API von typo 3 zu nutzen, und das hat dann natürlich die fehlermeldungen hochblubbern lassen.

Hej, p’litik machen wollen, den menschen ihr gemeinsames leben mit gewalt gestalten wollen und nicht eine dumme, dumme maschine anhand frei verfügbarer, vollständiger und eindeutiger dokumentazjon administrieren können! Ab jetzt bin ich überzeugt: die „freien wähler“ sind der natürliche koalizjonspartner der CSU! Das wird die erfolgskoalizjon für bayern!!!1!

Und ein dank an heise onlein, die endlich bei so einem inkompetenten scheißdreck ganz offen in ihrer überschrift davon sprechen, dass daten veröffentlicht wurden. Bitte diese schreib- und sprechweise beibehalten, denn sie schafft klarheit!

„Kameraüberwachung schafft sicherheit“ des tages

Offen wie ein Scheunentor:
Millionen Überwachungskameras im Netz angreifbar

[…] Mit etwas Glück kann er sich auf dem Gerät mit dem Benutzernamen admin ohne Passwort einloggen – das ist die Standard-Konfiguration der Geräte ab Werk […]

Aber hej, hier haben doch alle nix zu verbergen! Und der sicherheitsgewinn ist mal wieder so richtig knalle geil, denn der hersteller hat eine hintertür eingebaut, mit der man die in der klaut gespeicherten überwachungsaufnahmen auch manipulieren kann, damit der einbruch von unsichtbaren geistern durchgeführt wurde. Oder gleich eine neue firmwäjhr auf die kamera aufspielen. Oder sonstwas. Alles geht. Fuckup as a service.

Wisst ja, durch hintertüren in geräten wird auch alles sicherer, sagen euch die scheißp’litiker und ihre jornalistischen speichellecker ja auch jedes mal.

Windohs zehn des tages

Windows 10:
Oktober-Update löscht anscheinend ungewollt eigene Dateien

Wer immer noch glaubt, dass die frickelbude meikrosoft so etwas wie automatische aktualisierungen im griff hat und gerade mal sechzig minuten zeit hat, höre sich einfach mal diesen heiteren vortrag von prof. Rüdiger Weis an. Aber keine tischkanten in gebissnähe!

Nachtrag: meikrosoft hat dann doch noch gemerkt, dass es irgendwie scheiße ist, den nutzern einfach die daten zu löschen und seine kaputte aktualisierung zurückgezogen.

Schöne grüße an die stadt münchen, die beschlossen hat, solche scheißprobleme auf stadtverwaltungsniewoh zu bekommen! :mrgreen:

Krüpplografie des tages

Ein fataler Fehler in der beliebten Thunderbird-Erweiterung Enigmail kann dafür sorgen, dass Mails, die nach Angabe der Software verschlüsselt werden, im Klartext durch die Leitung gehen. Wer sich darauf verlässt und mit der Funktion vertrauliche oder gar geheime Informationen verschickt, riskiert, dass diese von Dritten mitgelesen werden

Weia! Aber das problem tritt nur bei PEP auf, also bei dieser erleichterung und vereinfachung für ein eh schon nicht besonders schwieriges verfahren… aber der generazjon wischofon kann es ja gar nicht einfach genug gehen.

Äpp des tages

Eine gravierende Sicherheitslücke in der offiziellen Smartphone-App zum Parteitag der britischen Konservativen Partei (Tories genannt) hat persönliche Daten hunderter Teilnehmer der Veranstaltung offen zugänglich gemacht, darunter deren Mobiltelefonnummern. Man musste sich lediglich mit der leicht zu erratenden E-Mail-Adresse eines Politikers in der App anmelden und hatte Zugriff auf dessen Teilnehmerprofil – ein Passwort war nicht erforderlich […] soll etwa das Profilbild von Johnson kurzzeitig durch ein pornografisches Bild ersetzt worden sein

Bwahahahaha!

Wie immer und überall gilt: wenns internetz im händi ist, ists gehirn im arsch. Und dann gibts ja auch noch den datenschutz:

Außerdem merkten Teilnehmer an, die Anmeldung zum Parteitag sichere zwar die Vertraulichkeit aller überlassenen Daten zu und schließe eine Nutzung durch Dritte aus. In der fraglichen App jedoch habe man keine andere Wahl, als der Übermittlung seiner Daten an Dritte zur Nutzung durch CrowdComms zuzustimmen

Schön, dass ein paar p’litiker in ihrem paralleluniversum mal mitkriegen, welche bedeutung der datenschutz im alltag der allermeisten menschen so hat. Digital first, bedauern second.

Wie „sicher“ sind wahlkompjuter?

Mit einem Adapter im Wert von zehn US-Dollar konnten die Hacker nach eigenen Angaben eine serielle Verbindung zum Hauptprozessor aufbauen. Mithilfe eines darüber angeschlossenen Laptops verschafften sie sich Administratorrechte mit dem gängigen Benutzernamen „root“, ein Passwort war nicht nötig

Gekünstelte intelligenz des tages

Stell einen elefanten in das wohnzimmer, und die mühsam angelernte „künstliche intelligenz“ wird auf der stelle dumm. [Der link geht auf einen englischsprachiger artikel]

Then the researchers introduced something incongruous into the scene: an image of an elephant in semiprofile. The neural network started getting its pixels crossed. In some trials, the elephant led the neural network to misidentify the chair as a couch. In others, the system overlooked objects, like a row of books, that it had correctly detected in earlier trials. These errors occurred even when the elephant was far from the mistaken objects […] And as for the elephant itself, the neural network was all over the place: Sometimes the system identified it correctly, sometimes it called the elephant a sheep, and sometimes it overlooked the elephant completely

😀

Die nutzung angelernter neuronaler netze… das sind genau die verfahren, mit denen inkompente p’litiker gern ihre internetzzensurideen implementiert sehen wollen und mit denen börsennotierte unternehmen ohne seriöses geschäftsmodell ihre teuer verkaufte „zielgruppengerechte“ reklame schalten, dieses hokus pokus technomagische schlangenöl für hirnlose marketingäffchen.

Tja, schon scheiße, wenn das stupide anlernen zu so wenig erkenntnisgewinn führt, dass man nicht einmal weiß, warum es bei bestimmten „störungen“ — das meint hier: nicht angelernte muster in einer wirklichen welt — so leicht und so gründlich scheitert. Mit klassischen algoritmen, die jemand ganz altmodisch programmiert und dokumentiert hätte, wäre das nicht passiert, da müsste man nur die fehler im konzept oder in der implementazjon suchen.

Kwalitätsjornalismus des tages

Dass kwalitätsjornalisten aus dem zwitscherchen vorlesen, als ob ihre zielgruppe nicht auch dieses tolle neumodische neuland-internetz hätte, ist ja nicht weiter ungewöhnlich, und dass sie nicht mehr die geringsten kwalitätsansprüche haben und dass selbst die netzexperten von radio bremen dann eine klar als solche ausgewiesene satire nicht erkennen, sondern satirische A.-Nahles-zitate als ganz heiße zwitscherchen-nachricht verbreiten [archivversjon], überrascht mich dann auch nicht weiter. Gut, dass es diese fäjhknjuhs immer nur in diesem internetz gibt und niemals in presse und glotze…

Datenschleuder des tages

Die schweizer steuer-äpp fürs wischofon „steuern59.ch“ hat sämtliche daten aller nutzer ohne zugriffsschutz in eine „cloud“ von amazon gestellt und somit im internetz veröffentlicht. Alle diese auch für kriminelle banden sehr leckeren daten waren auch für technisch eher weniger interessierte zeitgenossen mit frei verfügbarer softwäjhr automatisiert aufzufinden.

Nach Informationen, die heise online exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer […] Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert

Natürlich waren auch die passwörter der nutzer im klartext gespeichert, dieses gesalzene häsching aus den siebziger jahren kann ja niemand implementieren, wenn er nur ein geschäft mit einer schnell gehäckselten äpp machen will…

Aber sage niemand, dass er nicht vorher gewarnt war! Da steht zwar in den „datenschutzbestimmungen“ für die nutzung dieser scheißäpp…

Die Sicherheit der Nutzer steht an erster Stelle

*kicher!* …dass die sicherheit an erster stelle steht, vermutlich, weil der lügenwerber diese 08/15-formulierung so empfohlen hat, aber da steht auch…

Die Übermittlung von Daten über das Internet ist leider nicht absolut sicher. Die App Steuern59.ch arbeitet mit Dienstleistern und Internetanbietern zusammen, welche angemessene technische und organisatorische Sicherheitsvorkehrungen treffen, um die personenbezogenen Daten der Nutzer zu schützen. Die App Steuern59.ch kann jedoch keine Garantie für die Sicherheit der vom Nutzer übermittelten Daten übernehmen. Jede Datenübertragung erfolgt daher auf eigenes Risiko

…dass die offenbar völlig unseriöse und offen kundenverachtende klitsche, die diese äpp „steuern59.ch“ anbietet, mit allen möglichen, selbstverständlich gegenüber den nutzern ungenannten subunternehmern und subsubunternehmern zusammenarbeitet, jegliche verantwortung für deren datenverarbeitung ablehnt. Was bleibt, ist das „eigene risiko“. Wisst schon, eure sicherheit steht an erster stelle. :mrgreen:

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so leicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Knuddels.de, ein tschättanbieter aus der BRD, hat mal eben seine benutzerdatenbank veröffentlicht — und natürlich waren die passwörter im klartext gespeichert. So eine sicherheitstechnik aus den späten siebziger jahren wie das gesaltete häsching von gespeicherten passwörtern, für die es natürlich fertigen, guten und erprobten kohd gibt, war den betreibern dieser tschättenden webkommune wohl irgendwie zu hirnend.

So leute, jetzt könnt ihr mal sehen, ob diese scheiß-DSGVO nur zum fertigmachen und einschüchtern privater webseit-betreiber in der EU konzipiert wurde, oder ob in fällen derart grober fahrlässigkeit auch wirklich die möglichen empfindlichen bußgelder aufgebrummt werden. Ich habe da ja einen verdacht, was passieren wird: nix.

Aber völlig unabhängig von der weiter voranschreitenden, p’litisch gewollten entdemokratisierung des internet: auch weiterhin viel spaß und orwellness beim festen glauben an den überall konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Security des tages

Äpple-softwäjhr ist viel besser und sicherer als windohs-softwäjhr.

Mit einer manipulierten E-Mail sei es möglich, die Mac-App sogar dazu zu bringen, die Datenbank mit allen E-Mails des Nutzers an einen Angreifer zu verschicken

Und, wie kommt es dazu?

Das Problem bestehe darin, dass Airmail per Aufruf eines URL-Schemas eine E-Mail mit bestimmten Inhalt sowie Anhang automatisiert – und ohne Nutzerbestätigung – verschicken kann

Warum, zum hackenden henker, warum? Welches problem wird mit diesem tollen funkzjonsmerkmal — neben dem gewinn eines von äppel verliehenen dieseinpreises — gelöst? Mir fällt beim besten willen keines ein. Außer vielleicht, dass man leichter kettenbriefe realisieren kann.

Aber hej, die oberfläche sieht geil aus, und das reicht dem äppel-verstahlten dummnutzer aus der generazjon teletubbie.

Künstliche intelligenz des tages

Hey, kompjuter, was bedeutet „dog“?

Hey, anwender, die weltuntergangsuhr steht auf drei minuten vor mitternacht, wir nehmen merkmale und eine dramatische entwicklung in der welt wahr, die darauf hindeuten, dass wir uns immer mehr auf das zeitenende und die wiederkunft jesu zubewegen.

😯

Bildschirmfoto der eben beschriebenen übersetzung

Bwahahahahaha!

Auch weiterhin viel spaß mit selbstlernenden neuronalen netzwerken und so genannter „künstlicher intelligenz“! (Das ist aber auch so ein scheiß, der alle paar jährchen mal wiederkommt, grandios scheitert, niemanden voranbringt, forschungsgelder bindet, journalisten berauscht, keine einsicht in probleme oder das wesen der richtigen intelligenz erbringt und ergebnisse hat, die zum teil brauchbar aussehen, während der andere, größere teil eher als rohmaterial für dadaistische kunstwerke taugt…)

Laut gerüchten, die mir von gut informierten engeln zugetragen wurden, sollen übrigens bei der wiederkunft kristi alle in den großen höllenofen geworfen werden, die es wichtiger fanden, ihren traum von der künstlichen intelligenz statt die bestmögliche entwicklung der natürlichen intelligenz zu fördern. :mrgreen:

via Fefe

„Pöse russische häcker manipulieren wahlen“ des tages

Wahlen manipulieren können ja nur ganz pöse, staatliche häcker, es ist ja schließlich kein kinderspiel, in irgendwelche hochnotgesicherten wahlsysteme einzubrechen…

Wie TechCrunch berichtet, überwand Emmet die Sicherheitssysteme eines genauen Replikats der Seite innerhalb von gerade einmal zehn Minuten […] Insgesamt beteiligten sich rund 47 Kinder am Wahl-Hacking-Wettkampf – 89 Prozent gelang es, die Sicherheitsvorkehrungen zu umgehen

Bwahahahahaha!

„Internet der dinge“ des tages

Hacker Ricky Lawshae hat während der Hackerkonferenz Def Con demonstriert, wie schlecht Crestron-Gerätschaften abgesichert sind: Bei Telnet-Verbindungen über Port 41795 verlangen Geräte wie die Controller der Serie 3 oder die zur Steuerung verwendeten Touchscreens TSW-760-B-S weder Nutzernamen noch Passwort. Im Auslieferungszustand ist keine Authentifizierung nötig, um sich als Administrator mit den Geräten zu verbinden […] Mehr als 20.000 Crestron-Komponenten sind frei vom Internet aus zugänglich […] Audio- und Videodateien abspielen […] per recwave-Kommando beliebig lange Aufzeichnungen über das im Gerät verbaute Mikrofon starten

Offenheit des tages

Beim Hack der Videoplattform DailyMotion gelang es unbekannten Angreifern Ende 2016, in die Server der Seite einzubrechen und eine Datenbank mit über 87 Millionen Nutzerkonten – inklusive knapp 18 Millionen Passwort-Hashes – mitgehen zu lassen. Nun wird deutlich, dass dies deswegen möglich war, weil die Betreiber der Seite ihren Quellcode auf GitHub veröffentlicht hatten. Unter anderem fand sich in dem Code-Repository das Passwort eines DailyMotion-Administrators

Heise! Wo ist das ein häck, wenn man ein völlig offen im internetz herumliegendes passwort verwendet? Das ist nix weiter als das nutzen frei verfügbarer informazjonen, das eintreten durch eine tür, die für besucher weit geöffnet war.

Aber hej, immerhin hat DailyMotion kräftig strafe dafür latzen müssen, dass sie nach dieser im internetze ausgesprochenen einladung mal eben 87 milljonen nutzerdatensätze (mit gehäschten und gesalzenen passwörtern) mit mäjhladressen veröffentlicht haben. Fünfzigtausend øre!!!1! Das ist bestimmt fast schon ein prozent der portokasse!!!!1! Das entspricht sex hundertstel ørecent pro veröffentlichter mäjhladresse. So viel ist die privatsfäre und spämmfreiheit von menschen zurzeit in scheißeuropa wert!

Schlagzeile des tages

Commerzbank:
Kunden sollen ab Mittag wieder Geld auf dem Konto haben

[…] Während Zahlungseingänge nicht verbucht wurden, zog die Bank aber offenbar turnusgemäß Kontoführungsgebühren ab […]

Bwahahahahaha! [Dauerhaft archivierte versjon]

Gewöhnt euch schon dran! Es wird ja auch berichtet, als sei es ein ganz normales vorkommnis und nicht etwa ein mittelgroßer skandal. Und vor allem: vertraut diesen banken, die nicht einmal ihr kerngeschäft in halbwegs fehlerfreier datenverarbeitung hinkriegen, auch weiterhin euer ganzes geld an und lasst euch jeden tag von den PR-abteilungen dieser banken erzählen, wie unpraktisch doch dieses altmodische, eklige geld ist und wie viel besser man mit kärtchen und händis bezahlt! Was kann dabei schon schiefgehen? :mrgreen: