Spam und security des tages

Nutzt hier jemand antivirus-programme?

Advertisements

Ihmezentrum-PRopaganda des tages

In ihrem aktuellen bemühen um tolle propaganda, mit der sie den leuten das scheißihmezentrum als ganz tolles, urbanes kulturgutgebäude verkaufen wollen, schrecken die reklamelügner vor keinem spott auf das gehirn mehr zurück. Da wird dann auch mal eine meldung mit dem früheren oberbürgermeister Herbert Schmalstieg (seit rund zwölf jahren nicht mehr im amt) zu einer S/M-mäßig zwitschernd als tagesaktuell verkauften jubelmeldung gemacht — damit auch noch der letzte merken kann, wie sehr seine intelligenz von diesen stinkenden, von der geldanbetenden und menschenverachtenden heuschreckenklitsche „intown“ bezahlten jubelpersern mit hirnfickhintergrund verachtet wird:

Tweet von @IhmeZentrum: Oberbürgermeister von @hannover und Investor präsentieren Umbaupläne für das #Ihmezentrum -- das Quartier soll sogar einen neuen Namen bekommen -- Erwiderung von @Jacqueline_Ebel: Wann war das denn? Der aktuelle OB heißt Schostock

Angesichts der großen löschlust dieser wohl recht gut fürs lügen bezahlten professjonellen lügner kann ich nur empfehlen, immer schnell ein bildschirmfoto zu machen, bevor die ihre spuren nach besonders peinlichen patzern wieder verwischen.

Immerhin, eines kann man von diesem kleinen fehlerchen im gutkonzertierten herumgelüge einer kwasiscientologischen hirnfickerbande lernen: Wie lange die menschen schon mit den gleichen beschissenen lügen an der nase herumgeführt werden. Schön doof, wer sich das gefallen lässt oder gar gefallen daran findet. Das wird auch durch tolle bundesbau-reklameplakate an der scheißruine nicht besser, ganz im gegenteil

Abriss: jetzt! Alternativen: keine!

Guhgell des tages — eine suchmaschine zum wegschmeißen…

Guhgell hat tolle algoritmen, voll intelligent und so, und jetzt sogar immer mehr „künstlich intelligent“. Und diese algoritmen entscheiden darüber, was bei einer guhgell-suche sichtbar wird und was nicht. Zum beispiel: wenn ich einen text zitiere und die kwelle verlinke, dann führt das dazu, dass guhgell mein zitat an erster stelle in einem suchergebnis auflistet, aber die kwelle ganz tief unten vergräbt, irgendwo, wo man auch hervorragend nach einem mord die leiche verstecken könnte, damit sie keiner mehr findet.

Bildschirmfoto des absurden guhgell-suchergebnisses

Fürwahr, ein ausgesprochen gekünstelt „intelligentes“ verhalten von guhgells algoritmen. Und vor allem genau das, was man erwartet, denn wer findet nicht lieber zitate als die kwelle, wenn er etwas sucht?! :mrgreen:

Also leute, nehmt andere suchmaschinen, verdammt noch mal! Welche ihr nehmt, ist erstmal egal. Sogar dieses bing von meikrosoft ist etwas hilfreicher, wenn man nicht irgendwelche zitate, sondern die kwelle haben will:

Bildschirmfoto des suchergebnisses bei bing, ich stehe dort zwar auch aus irgendwelchen gründen an erster stelle, aber die kwelle ist prominent gelistet

Und die von mir regelmäßig verwendete suchmaschine duckduckgo verhält sich genau so, wie man es in einem solchen fall erwartet, die kwelle steht klar an erster stelle, das zitat ist untergeordnet:

Bildschirmfoto des suchergebnisses bei duckduckgo, die kwelle steht an erster stelle, mein zitat steht direkt darunter

So muss das eigentlich sein.

Wenn selbst so eine suchmaschine aus der zweiten reihe wie duckduckgo kwalitativ bessere und nützlichere suchergebnisse als guhgell anbietet, dann ist guhgell einfach nur noch unbenutzbar. Allein schon wegen der ganzen träcking- und datensammelscheiße, die sonst noch an guhgell dranhängt.

Also leute, nehmt endlich andere suchmaschinen als dieses guhgell!

Fernkontoführung des tages

Machen sie ihre bankgeschäfte bekwem und einfach mit unserer internetz-fernkontoführung (neudeutsch: onleinbänking) und ermöglichen sie es uns damit, achtzig prozent unserer mitarbeiter zu entlassen, ihnen aber weiterhin das gleiche geld abzuknöpfen wie vorher. Was kann dabei schon schiefgehen?

Eine katastrophal schiefgelaufene Migration von Kontodaten in ein neues Datenbanksystem hat Millionen britische Bankkunden aus ihrem Onlinebanking ausgesperrt. Seit Tagen kommen sie nicht an ihr Geld […] Wer sich einloggen kann, hat demnach aber auch Probleme und bekommt Buchungen eventuell nicht zu sehen oder gar einen falschen Kontostand angezeigt. Ein Kunde konnte andere Konten einsehen und hätte sogar überweisen können, erzählte er der BBC […] eine Behebung der Probleme ist nicht in Sicht

Weia!

Das fahrradschloss für die idiocracy

Es kostet einen mondpreis von rund hundert øre und man kriegt es nicht so einfach auf, wenn man nicht den schlüssel dazu hat, außer vielleicht, man öffnet es mutwillig, gewaltsam und unbefugt, so, wie das jeder fahrraddieb tut. Müsst ihr unbedingt kaufen, ihr konsumtrottel, die ihr auf den nach scheiße stinkenden schleichwerbe-fernsehjornalismus von PRO7-galileo reinfallt! Endlich brauchen die diebe keinen unhandlichen seitenschneider mehr mit sich herumzutragen! :mrgreen:

Mit verdummenden schleichwerbe-scheißjornalismus in die idiocracy! Es geht voran!

Security des tages

„T-mobile“ ist im jahre 2018 mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren, nämlich der speicherung von passwörtern als (im idealfall gesalzene) häsches, überfordert. Und irgendwelche brechreizerregenden PR-komiker in der S/M-front begründen auch, warum:

What if this doesn’t happen because our security is amazingly good?

Da kann man nur entgegen: klitschen, die sich dermaßen selbst überschätzen, würden es vermutlich nicht einmal bemerken, wenn sie von kindern oder kriminellen gekräckt werden und alle daten rausgetragen werden. Das bemerken dann „nur“ ein paar davon betroffene kunden… 😦

Und in der tat:

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben […] Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen […] Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen […] Im Repository unter blogs.t-mobile.at fand sich eine WordPress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden

Es wird wohl gar nicht so schwierig werden, diesen vor dreister dummheit strotzenden vollidjoten-laden mit seiner „erstaunlich guten security“ zu kräcken. :mrgreen:

Auch weiterhin viel spaß dabei, solchen auf elementarsten datenschutz scheißenden und ihre kunden mit verlogenen PR-geschwafel zur datensicherheit verachtenden klitschen irgendwelche daten anzuvertrauen! Verträge kann man übrigens kündigen, und auf die löschung der daten sollte man bestehen (man hat ein recht darauf), denn von alleine werden die ihren „rohstoff des 21. jahrhunderts“ gewiss nicht löschen.

Meikrosoft des tages

Na, nutzt hier jemand windohs sieben?

Klar, ihr habt das alle schon bei Fefe gelesen, aber der vollständigkeit halber und weil heise onlein so ein passendes symbolfoto ausgewählt hat, hier nochmal:

Sicherheitspatches gegen Meltdown haben eine neue, riesige Sicherheitslücke in Windows 7 aufgerissen […] Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf […] Aufgrund der Verwundbarkeit soll jeder Prozess — auch ohne Admin-Rechte — den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können […] sogar Schreibzugriff auf den Kernel

Die haben bei meikrosoft ja nur ein halbes jahr zeit für ihren pätsch gehabt… unter so einem zeitdruck kann ja mal ein kleines fehlerchen passieren… m(

Übrigens gibt es immer wieder probleme mit dem automatischen aufspielen der sicherheitsaktualisierung vom märz 2018, die dieses problem fixt. Viele dürften sie zurzeit noch gar nicht haben.

Denen, die tiefgläubig und fest auf die kompetenz von meikrosoft vertrauen, wünsche ich auch weiterhin viel spaß mit ihren kompjutern.

Kwalitätsjornalistische kwalitätsreklame des tages

Was ein „in-image-ad“ sein soll? Man stelle sich mal vor, direkt im foto des eingangstores zum menschenvernichtungslager auschwitz mit dem markanten schriftzug „arbeit macht frei“ würde eine reklame für die sonderangebote von penny eingeblendet. Die „säxische zeitung“ liefert! [Archivversjon im lande des vollumfänglichen rechtsschutzes für beleidigte leberwürste.]

Unsere treffsichere Lösung. Ihre Werbung wird native, passgenau und sichtbar kontextsensitiv ins Bild eingebunden

Schon klar, „kontextsensitiv“. Ein tauchsieder im anus ist auch „kontextsensitiv“ und sorgt außerdem für wärme noch in der kühlsten seele. Kannste dir mal wieder gar nicht selbst ausdenken, so einen bullschitt — und das scheißpresseverleger so einen bullschitt auch noch fressen. 😦

VR-brille des tages

Na, „early adopter“ (blenddeutsch für idjoten, die viel zu viel geld für strokelkrams ausgeben, der noch ziemlich beta ist)? Na, „oculus rift“ gekauft? Und jetzt geht das teure scheißdingens nicht? Hej, keine sorge, die hardwäjhr ist noch ganz in ordnung, da gibt es nur ein kleines problem mit so einer kohdsignierungs-gängelung, und das zertifikat ist abgelaufen. Vermutlich völlig überraschend abgelaufen. Etwa so überraschend, wie es manchmal ganz überraschend weihnachten wird. :mrgreen:

Freut ihr euch schon drauf, wenn sie euch den neueren überteuerten techniktinnef verkaufen wollen und einfach die zertifikate für den alten überteuerten techniktinnef ablaufen lassen, damit ihr ihn nicht mehr nutzen könnt? Lasst euch schön weiter enteignen, ausnehmen und abzocken, ihr idjoten, ihr habts ja, das geld! Seit ihr ja schon von euren scheißwischofonen gewohnt, nur dass die noch funkzjonieren, wenn man eigentlich ein verantwortungsloser vollidiot ist, wenn man die weiterbenutzt. Und, freut ihr euch auch schon so dolle auf die selbstfahrenden autos? Hoffentlich läuft das zertifikat für den bremsprozess nicht ab! :mrgreen:

Nutzt hier jemand eiFohns oder äpple-PCs?

జ్ఞా — nein, ich weiß nicht, wie man das ausspricht. Aber äppel weiß dafür nicht, wie man das korrekt rendert und die aktuellen betrübssysteme von äppel kacken ab. Unicode ist und bleibt ein bisschen schwierig. Hauptsache, es gibt neue emojis. 💩

Und hej, wenn schon so ein einzelnes zeichen das fon zum abkacken bringt, dann würde es mich gar nicht wundern, wenn man darüber auch kohd ausführen kann. Das ist ja nicht das erste mal, dass äppel beim rendern eines komplex aufgebauten unicode-zeichens abkackt, und bislang scheint das problem eher so behoben worden zu sein, als dass die paar zeichen, mit denen man fehler ausbeuten kann, rausgefiltert werden. Denn sonst würde der scheiß nicht immer wieder passieren. Ich glaube, wenn Steve Jobs noch leben würde, bekäme er bei dieser vorgehensweise einen seiner kolerischen wutanfälle, bei denen man ganz weit weg sein möchte…

Schlangenöl des tages

Foto eines Kindes beim FacepalmWoran erkennt meikrosofts defender jetzt irgendwelche schadsoftwäjhr, die den CPU-fehler „spectre“ ausnutzt? Richtig: an ein paar zeichenketten mit text im programm und nicht etwa an irgendwas im programmkohd. Da sind die ganzen verbrecher auf dieser welt jetzt völlig machtlos geworden, denn auf die idee, einfach andere texte als im original-exploit zu verwenden, kommen die nie!!!!1!!1!!elf!!1!

Ja, meikrosoft prüft wirklich auf einen verdammten string! Auf so eine schwachsinnige idee muss man erstmal kommen. Die ist selbst für meikrosofte verhältnisse ungewöhnlich bescheuert.

Ich wünsche allen schlangenölnutzern auch weiterhin viel spaß mit ihrer vom jornalistenonkel in der schleichwerbung und vom reklamelügner in der offenen reklame versprochenen gefühlten sicherheit! Glaubt einfach schön weiter an den ganzen lügenhokuspokus „heuristik“, „KI“, „verhaltensanalyse“, mit dem ihr euch das schlangenöl andrehen lasst, erlaubt dem schlangenöl schön, weitere klaffende sicherheitslöcher in eure rechner zu reißen und fühlt euch wohl dabei, wenn ihr euch in doofheit und leichtgläubigkeit suhlt, als wärt ihr esoteriker! (Aber macht wenigstens halbwegs regelmäßig verdammte sicherungskopien! Bitte! Die werden nämlich am ende eure einzige rettung sein.)

Habt ihr auch gehört und geglaubt…

…dass intel die üblen CPU-fehler „meltdown“ und „spectre“ mit etwas microcode geflickt hat? Tja, war wohl nix:

Meltdown und Spectre:
Intel zieht Microcode-Updates für Prozessoren zurück

Weia, ist das alles eine unfassbare scheiße! Dieser scheißfehler, der meiner unbedeutenden meinung ja durchaus mal passieren kann (so eine moderne CPU ist verdammt komplex und vermutlich auch für experten nicht mehr in allen einzelheiten und möglichen wexelwirkungen durchschaubar), ist intel jetzt seit einem halben jahr bekannt und wurde nicht veröffentlicht, damit die sich in ruhe etwas ausdenken können, und dann fangen die da bei scheißintel jetzt erst an, irgendwas zu kohden und lassen es offenbar ohne ausreichende tests auf eine welt los, in der die menschen oft darauf angewiesen sind, dass die kompjuter laufen — und dann sind die bei intel verwundert, dass das schnell zusammengefrickelte flickwerk nicht funkzjoniert und die menschen ein bisschen sauer werden, weil ihre rechner (darunter natürlich auch ein paar sörverchen) auf einmal ohne grund runterfahren und ausgehen.

Ich bin wirklich froh, dass ich nicht in einer mittelgroßen klitsche als admin arbeite und diese von intel verursachte scheiße jeden verdammten tag fressen muss…

Linus Torvalds hat sich ja auch neulich eine meinung über das flickwerk von intel gebildet und in seiner gewohnt unmissverständlichen art zum ausdruck gebracht:

As it is, the patches are COMPLETE AND UTTER GARBAGE.

Ob intel wohl auch weiterhin so gut hardwäjhr für sörverrechner verkaufen wird? Eigentlich kann man nach dieser nummer gar nicht mehr so doof sein, intel zu kaufen. Wie gesagt: den fehler kann man gerade noch verzeihen, aber dieser umgang damit ist einfach nur verantwortungslos.

Security des tages

Hat hier jemand so ein NAS von western digital mit dem abschreckenden namen „my cloud“ bei sich herumstehen? Zieht mal lieber den stecker! Da ist werksseitig ein klitzekleines hintertürchen eingebaut worden:

Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne […] Zugriff mit Root-Rechten übers Internet […] erbat sich Western Digital bereits im Juni 2017 90 Tage Zeit, um die Sicherheitslücken zu schließen, was jedoch bis heute nicht passiert ist. Die Backdoor steht somit noch immer offen

m(

Natürlich, warum sollte man denn ein kleines hintertürchen schließen, wenn man es doch selbst eingebaut hat? (Andere erklärungen für so ein verhalten wollen mir beim besten willen nicht einfallen.) Auch weiterhin viel spaß mit irgendwelchen plastikkästen, die man euch verkauft, damit ihr sie schön, voll einfach und echt jetzt mal benutzerfreundlich mit einem ethernet-kabel ins internetz hängen könnt, ohne jemals auch nur elementare sicherheitsaktualisierungen dafür zu kriegen! Wenn euch das scheunentor nicht passt, könnt ihr ja einfach den näxsten plastikkasten kaufen.

Fest verdrahtete standard-anmeldungen für root? Das ist die neue offenheit! Den verbrechern dieser welt zum genuss und allen geheimdiensten zum wohlgefallen. Halleluja!

Aber hej, wo „cloud“ draufsteht, da regnen halt platschepampe die daten ab. Und die einladung zur freien kohdausführung für jedes siebenjährige häckkind bei seinen ersten unbeholfenen schritten ins neuland wird gleich mitgeliefert. Schon der produktname hätte bei mir eine akute kauf- und nutzungshemmung ausgelöst, so ganz irrazjonal und überhaupt nicht weiter begründbar. Ich würde ja auch keine nahrungsmittel kaufen, wo ganz groß zyankali auf der packung draufsteht… na ja, dumm kauft eben gut. Und frisst alles, was ihm werbeheins vorsetzen.

Schneller nachtrag: aus dem heiseforum, also ohne gewähr

Baugleich: D-Link DNS-320L ShareCenter

In dem Artikel wird mit keinem Wort erwähnt, das das D-Link DNS-320L ShareCenter baugleich mit dem WD Zeugs ist. Beide haben die selben hardcoded Login Daten.
Was für ein Zufall…

Es sind also vermutlich noch ein paar… ähm… fernwartbare NAS mehr im umlauf, und nicht alle tragen so alberne namen. Augen auf beim hardwäjhrkauf.

Kompjuternutzung wird immer einfacher!!!1!!1!

Android macht das Ausfüllen von Formularen, etwa Konto- und Kreditkartenformularen, mit der Einführung des Autofill-Frameworks einfacher. Dieses Framework verwaltet die Kommunikation zwischen der App und einem Dienst zum automatischen Ausfüllen […] Forscher haben zwei verschiedene Scripts ausgemacht (…), die darauf ausgerichtet sind, identifizierbare Informationen aus browserbasierten Passwortmanagern auszulesen. Die Scripts verrichten ihr Werk, indem sie unsichtbare Anmeldeformulare im Hintergrund der Website einfügen und alles, was die Browser automatisch eintragen, aufschaufeln

Falls jemand noch einen grund braucht, um nicht jeder dahergelaufenen webseit javascript zu erlauben. Zurzeit wird das „nur“ für träcking benutzt, aber demnächst wird es wohl auch von verbrechern geschaltete reklame geben, die login-daten für paypal, amazon, ihh-bäh und so weiter ausspäht — nebst kontoinformazjonen und den zugang zu fratzenbuch, zwitscherchen, spämmedin für betrugs- und spämmzwecke.

Einmal der normale irrsinn, bitte… facepalm des tages

Die frickelbude ATOS — „global leader in digital transformation“ oder auf deutsch: ein führendes unternehmen für „cloud“, cyber und big fätt däjhta — hat bei einem dieser beliebten BRD-leuchtturmprojekte für lichtallergiker einige ihrer besonders bewährten spezjalexperten drangesetzt, und diesmal einen mit nur selten erlebten kryptografie-sonderkompetenzen für das verkacken in regierungsmaßstäben.

Einem IT-Dienstleister war nämlich aufgefallen, dass der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilte

Hej, aber immerhin hatte man bei den schlüsseln eine schangse von fuffzich prozent, dass man auch den richtigen verteilt. Dann gehts halt auch mal schief… :mrgreen:

m(

TLS des tages

ROBOT-Angriff:
19 Jahre alter Angriff auf TLS funktioniert immer noch

[…] Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal […] Als Beleg für einen erfolgreichen Angriff gelang es, eine Signatur mit dem privaten Schlüssel von Facebooks Zertifikat zu erstellen

Weia!

Auch weiterhin viel spaß beim festen glauben an die sicherheit, die euch vom angezeigten schlösschen im brauserfenster versprochen wird! Kommt leute, der onkel jornalist hat euch doch immer wieder gesagt, dass webseits mit diesem schlösschen sicher sind. Der ist ganz großer experte und sogar jornalist, also glaubt ihm einfach!

Und vor allem: immer schön weiter irgendwelche kompjuter kaufen…

Besonders hart trifft das Problem Nutzer von ACE-Loadbalancern der Firma Cisco. Diese Geräte erhalten schon seit einigen Jahren keinen Support mehr. Im Einsatz sind sie trotzdem noch […] Vermutlich verwendet Cisco auch selbst die verwundbaren Devices für seine eigene Domain cisco.com – die Sicherheitslücke ist dort vorhanden

…bei denen andere darüber entscheiden, was für softwäjhr darauf läuft. Das prinzip kennt ihr ja schon von euren wischofonen und smartglotzen. Das ist ganz grundsätzlich eine güldene 1A extragute idee. Dann ist das mit den sicherheitsaktualisierungen auch gleich viel einfacher: einfach ein neues gerät kaufen. Kommt schon, das bisschen geld tut doch bei weitem nicht so weh wie daunlohd und installazjon fehlerbereinigter softwäjhr!

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…