„Cloud“ und smartdingens des tages

Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten […] Dazu benötigt man lediglich einen Computer mit WLAN-Schnittstelle in Reichweite des Funknetzes der Amazon-Kamera

Ich wünsche euch allen auch weiterhin viel spaß in eurem privaten „smarthome“ mit „cloud“-anschluss. Was kann dabei schon passieren? :mrgreen:

Smarte dinger, idjotische nutzer! Nicht daten sind das öl der zukunft, dummheit ists.

Advertisements

Cisco des tages

Cisco ist bei seinen geräten voll smart, einfach, schnell und mausklick:

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor

m(

Mein tipp: wenn zurzeit irgendwas damit beworben wird, dass es „smart“ ist, lasst die finger davon! Es ist nahezu immer hirnlose und gefährliche scheiße.

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll

Genau, ein administrator, der so eine werkseitig verbaute pwnage-schnittstelle für den zugriff durch das internetz und weniger vertrauenswürdige teile des firmennetzes sperrt, der hat so eine smartscheiße für unerfahrene dummanwender mit krawatte und entscheiderhintergrund ja auch sowas von nötig! Weia, dass ein aufgeblasener, kundenverachtender PR-affe von cisco so reden kann und nicht im affekt von irgendwem eine gescheuert kriegt, ist mir unbegreiflich.

Ansonsten: cyberwehr, bitte übernehmen! Der feind heißt hier ganz klar cisco! Nuke them from orbit!

Äppel des tages

Endlich können rechner nicht mehr rechnen!

Die Aufgabe „1 + 2 + 3“ sollte eigentlich nicht „24“ ergeben. Der neue Taschenrechner in iOS 11 kommt allerdings zu diesem Ergebnis […]

Bwahahaha!

Vielleicht liegt es ja an „siri“

Bwahahaha!

Aber hej, wenn die nutzer von überteuerten veräppel-fons nicht mehr richtig rechnen können, dann können sie ja auch nicht mehr bemerken, wie sie von äppel mit mondpreisen abgezogen werden. Also, liebe äppeljünger und eifohn-esoteriker: bestellt schon mal das eifohn X vor! Da funkzjoniert der äppel-taschenrechner vielleicht wieder. Bis dahin könnt ihr einfach mal rd. zehn øre für eine andere taschenrechner-äpp ausgeben, die wenigstens richtig rechnet. :mrgreen:

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Hauptsache das foto ist ohne titten und nippel…

Algorithmen kennen keine Gefühle und können deshalb ziemlich unsensibel sein, wie die Facebook-Tochter Instagram bewies: Sie nutzte für Werbung ein Foto, das die Drohung enthielt, „Ich werde dich vergewaltigen, bevor ich dich töte.“ Es handelte sich dabei um einen Screenshot einer Hass-Mail, die die Journalistin Olivia Solon vor fast einem Jahr erhalten hatte

Auch weiterhin viel spaß mit den ganzen S/M-algoritmen und der US-neurotischen angst vor brüsten. Übrigens: diese klitschen wollen „targeted advertising“ können und daraus ein geschäft machen. :mrgreen:

S/M und „targeted advertising des tages“

Das fratzenbuch weiß mal wieder genauer, was du wirklich brauchst und willst, als du es jemals selbst wissen wirst. Und die wollen „targeted advertising“ können und haben das sogar als einziges geschäftsmodell?

Bliebe die profanste aller Möglichkeiten. Facebook verspricht hier Features, die das Netzwerk zumindest in diesem Punkt überhaupt nicht beherrscht. Facebook ist zweifelsohne eine quantitativ extrem erfolgreiche Plattform. Aber wie sieht es mit der Qualität wirklich aus? Ob das Unternehmen seine Werbung wirklich so zielgruppenspezifisch anzeigen kann, wie es selbst behauptet, ist auch für Werbetreibende nicht kontrollierbar. In der Theorie hört sich das ja alles ganz toll an. Ob in der Praxis jedoch diese Versprechungen auch eingehalten werden, ist eine ganz andere Frage. Ich möchte es nicht ausschließen, dass der konkrete Algorithmus für die Gruppenempfehlungen schlicht nicht richtig funktioniert und am Ende gar keine nutzerspezifischen Empfehlungen abgibt

Und dafür haben die so einen mondkurs an der börse? Na, da wünsche ich den besitzern von fratzenbuch-akzjen aber noch viel spaß! Das einzige, was das fratzenbuch wirklich kann, ist kalte, widerliche, asozjale spämm. Wenn das mit der AFD zusamenwäxt, dann wäxt wahrlich zusammen, was zusammen gehört…

„Denkmal der politischen klasse“ des tages

In hamburch können jetzt erstmal keine schulen mehr saniert werden, weil das geld für ein viel wichtigeres projekt ausgegeben werden muss:

Nach Wasserschaden Ende April:
Schimmel in der Elbphilharmonie: Aufwendige Sanierungsarbeiten nötig

Versteht ihr sicherlich, liebe wahlberechtigte, das ist nun einmal alternativlos. Hauptsache während des G20-gipfels konnte zur erbauung der anwesenden großkopferten gäste und ihrer hofstaaten Beethovens neunte in der elbfilharmonie gespielt werden, während draußen die stadt brannte und die knüppel pogo tanzten…

Das bitte mal zum endspiel der brüllball-geldmeisterschaft!

Etliche User berichten im Samsung-Forum, dass ihr aktuelles Fernsehgerät nach dem neuesten Firmware-Update nicht mehr reagiert. Die Samsung-TVs lassen sich per Fernbedienung nur noch ein- und ausschalten, man kann aber weder Menüs aufrufen noch Fernsehen gucken

Auch weiterhin viel spaß mit den ganzen smartdingern! :mrgreen:

Und hej, bald habt ihr mit euren scheißautos die gleichen scheißprobleme. Und nein, die werden nicht zuverlässiger, wenn die softwäjhr nicht aktualisiert wird, ganz im gegenteil…

„Freie softwäjhr ist sicher“ des tages

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken […] Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt […] Zwei weitere Lücken in der Software ermöglichen es Nutzern unter bestimmten Umständen, Zugriff auf die Passwörter anderer Nutzer zu bekommen und in Datenobjekte zu schreiben, auf die sie eigentlich keinen Zugriff haben sollten

Also los, holt euch die neue versjon, wenn ihr postgresql im einsatz habt! Klar, bei heise im sommermodus hat mal wieder ein praktikant geschrieben, der gar nicht richtig klar gemacht hat, was das für ein fehler ist und wie man den ausnutzen kann. (Das problem liegt darin, dass die besagte libpq sich um die autentifikazjon kümmert, und dabei auch den sonderfall „kein passwort“ abfängt, nicht der datenbanksörver. Wenn man kohd hat, der diese bibliotek nicht benutzt, sondern direkt mit dem datenbanksörver kommuniziert, und wenn ein benutzer auf inaktiv gesetzt wurde, indem sein passwort auf NULL gesetzt wurde, dann tritt der fehler auf. Ich würde mich niemals darauf verlassen, auf der sicheren seite zu sein, weil meine anwendungen die bibliotek benutzen. Wenn ein angreifer über eine andere schwachstelle in irgendeiner anwendung kohd ausführen kann, ist er eventuell ganz schnell DBA.

Die frage, was für ein kraut die entwickler geraucht haben müssen, um eine autentifizierungsschwäche in einer bibliotek zu umgehen, statt sie im sörver zu fixen, müsst ihr den entwicklern stellen.

Datenschleuder des jahres

Ja, das jahr hat noch ein paar tage, aber dieses kaliber wird vermutlich in diesem jahr nicht mehr überschritten.

Das schwedische regierung hatte eine tolle idee, wie man sensible staatliche daten speichern kann: in der „cloud“. Das ist einfach, bekwem, modern, preiswert und sicher — so hat es vermutlich der lobbyist in den dunkelkammern des schwedischen reichstages gesagt. Und dann wurde das eben gemacht. Nachdem so ein p’litiker mit einem lobbyisten geredet hat (und vielleicht auch das eine oder andere kleine freundschaftserhaltende geschenk bekommen hat), fühlt er sich sofort ganz kompedingsbums und möchte gleich zur tat schreiten.

Das waren keine besonderen daten. Nur so ein großfrachtschiff mit militärischen geheimnissen, wo jeder, der sie jemanden anders einfach mitteilte, in den knast käme, und zwar lebenslänglich hinter die schwedischen gardinen. Ergänzt um ein paar weniger wichtige personenbezogene daten. Zum beispiel name, wohnanschrift und foto diverser bediensteter des schwedischen staates. Und name, wohnanschrift und foto jedes menschen, der in schweden mal von der polizei erkennungsdienstlich behandelt wurde. Und name, wohnanschrift und foto jedes menschen, der mit einem schwedischen zeugenschutzprogramm geschützt wurde. Und sämtliche daten zu in schweden vergebenen führerscheinen. Und sicherlich noch eine menge mehr…

Nun, diese „cloud“ scheint ein bisschen über russland abgeregnet zu sein, da es sich um kompjuter handelte, die im einfluss- und zugriffsbereich russischer verbündeter stehen. (Hier ein paar weitere daten in einer zeitleiste, aber die automatische übersetzung ist nicht so pralle. Englisch ist lesbarer als deutsch.) Das ist natürlich sehr praktisch für den russischen geheimdienst, der sich so die gefährliche und teure klassische spionahsche sparen kann, und doch an zuverlässige und wertvolle informazjonen kommt. Und so ein lieferdienst liegt ja auch ganz im trend der zeit, wie die vielen essensbringdienste belegen, die ihr auskommen finden.

Immerhin, einer der verantwortlichen musste richtig teuer dafür zahlen, nein, nicht mit einer lebenslangen haftstrafe, sondern…

There’s more: by this guilty plea, an appeal (by either prosecutor or defense) has been prevented, and so things will never go to public court and discovery. Further, since there is no appeal, the penalty has been set in stone – Ågren loses half a month’s pay in fines for leaking pretty much the entire military and civilian database set

…mit einem halben monatseinkommen. Das tut weh! Gut, dass das recht manchmal auch milde ist, wenn es sich um straftaten im staatsdienst handelt. Und hej, irgendwann im herbst soll ja mit der veröffentlichung der ganz geheimen geheimdaten auf rechnern im russischen einflussbereich aufgehört werden. Zumindest besteht die absicht. Vielleicht. Wenn es möglich ist.

Ich wünsche auch weiterhin allen ahnungslosen und reklamegläubigen ganz viel spaß dabei, allerlei daten auf den kompjutern anderer leute zu speichern, was man reklamedeutsch als „cloud“ bezeichnet. Was kann dabei schon schiefgehen?! :mrgreen:

Und genau so wünsche ich auch weiterhin ganz viel beruhigung wegen der ganzen staatlichen überwachungsdatenbanken, die alle staaten über ihre menschenverfügungsmasse anlegen. Beim staat sind die daten ja in guten, sicheren und voll kompetenten händen, ja, der staat hat sogar ci-ca-cyberkampftruppen, die ordentlich zurückcybern können. :mrgreen:

Faszinierend auch die BRD-jornalistische berichterstattung über diese kleinigkeit, die einfach nicht stattfindet, so dass hier niemand etwas davon mitbekommt. Würde ja auch nur beim vermarkten der werbeplätze an „cloud“-anbieter stören. Und bei den meldungen, dass bei der BRD-STASI wieder irgendwelche „dateien“ mit „gefährdern“ (BRD-neusprech für: nicht straffällige leute, die nach der geheimmeinung eines geheimpolizisten irgendwann einmal etwas tun könnten) angelegt werden. Wer sich nur aus glotze und presse informiert, schläft ruhig und ist auch dann nicht richtig wach, wenn die äuglein wieder offen sind.

In diesem sinne: aufwachen! Oh… gucke mal, so ein süßes kätzchen und wie der Trump wieder twittert… 😦

Händi des tages

Stell dir mal vor, du hängst richtig in der scheiße und brauchst hilfe, greifst nach deinem wischofon, wählst eine verdammte notrufnummer und dein scheißwischofon stürzt ab, und zwar reproduzierbar, wenn du die notrufnummer wählst

Na ja, wenigstens kann du dir dann die restzeit bis zu deinem ableben mit dem fratzenbuch versüßen. Zum telefonieren sind die scheißdinger doch gar nicht mehr gebaut.