Security des tages

Kauft tretroller mit elektromotorunterstützung, haben sie gesagt. Das ist hipp, mobil, smart, umwelt und sicher, haben sie gesagt:

Der E-Scooter Xiaomi M365 weist eine gefährliche Sicherheitslücke auf: Jedermann kann via Bluetooth den Tretroller zum plötzlichen Bremsen oder Beschleunigen bringen. Das ist gefährlich, weil so Stürze oder Zusammenstöße provoziert werden könnten. Möglich ist auch die dauerhafte Sperre des Geräts, was eigentlich als Diebstahlschutz gedacht ist, und sogar das Installieren anderer Firmware […] Zimperium hat entdeckt, dass die zum E-Scooter passende App vom Besitzer zwar ein Passwort verlangt, dieses Passwort aber ausschließlich in der App überprüft wird. Der E-Scooter selbst überprüft nicht, ob ein Passwort eingegeben wurde. Er nimmt Bluetooth-Befehle von jederman entgegen und führt sie ungeniert aus

Auch weiterhin viel spaß mit dem ganzen hippen, digitalen schrott mit zugehöriger wischofon-äpp von irgendwelchen klitschen! Da braucht das fahrzeug dann eben auch bluetooth, und irgendwie absichern ist so gestern. Was kann dabei schon passieren?

(Freut ihr euch auch alle schon so auf die „selbstfahrenden“ autos?)

„Internetz der dinge“ des tages

Dieses internetz der dinge ist wirklich toll, man kann alles aus der ferne machen und muss gar nicht mehr aus seinem sessel aufstehen. Jetzt müsste nur noch jemand an elementare sicherheitsmaßnahmen denken, wie etwa, das unmittelbar nach inbetriebnahme ein neues passwort erzwungen wird. Oh, viel zu schwierig? Na gut, dann wird eben gepwnt:

Mit einem Default-Benutzernamen in Kombination mit dem Standardpasswort 1234 können Angreifer via Webbrowser auf weltweit Tausende von Kühlsystemen des taiwanesischen Herstellers Resource Data Management (RDM) zugreifen

Eins, zwei, drei und vier; und dein kühlschrank gehorcht jetzt mir… :mrgreen:

Ändräut des tages

Grafik angeguckt, wischofon gepwnt.

Dann spielt mal alle schön die sicherheitsaktualisierungen ein! Wie, ihr kriegt keine? Na, da kauft auch mal alle schön neue wischofone! Kosten ja nicht so viel. Oder kauft euch vielleicht doch besser gleich kompjuter, auf denen euch das recht eingeräumt wird, diejenige softwäjhr darauf auszuführen, die ihr für gut und richtig haltet. Das sind dann aber meist keine händis oder vergleichbarer fabrikneuer müll für die generazjon „mein klopapier ist viel smarter als ich selbst“.

Selbst dieses fläsch ist sicherer als ändräut, denn für dieses fläsch kann jeder nutzer aktuelle, fehlerbereinigte versjonen bekommen. :mrgreen:

Aber äppel ist doch sicher…

Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext […] Der Zugriff auf die Kennwörter sei selbst durch unsignierte Apps möglich und benötige weder Admin- noch Root-Rechte

Schlangenöl des tages

Eine von Microsoft für die Antimalware-Plattform des Windows Defenders veröffentlichte Aktualisierung (KB4052623) hindert einige Windows-10-PCs daran zu starten – das Update gibt es auch für Windows Server 2016

Ist doch ganz hervorragend: ein windohs, das nicht mehr hochfährt, kann auch nicht mehr von irgendwelchen kriminellen übernommen werden. So viel schutz!!!1! Endlich mal ein schlangenöl, das auch funkzjoniert!!elf!!!1!

Und, woran liegt es?

Admins bleibt nichts anderes übrig, als bei den betroffenen Maschinen ins BIOS/UEFI zu gehen und Secure Boot vorerst auszuschalten

Richtig, es liegt an meikrosofts bösem versuch, käufer von kompjutern mit technikverhindernder gängelscheiße daran zu hindern, auf den gekauften kompjutern diejenige softwäjhr auszuführen, die sie für gut und richtig halten. Wenn doch nur vorher jemand davor gewarnt hätte! Jetzt haben alle normalkonsumenten irgendwelche bei aldi oder satan hansa oder mädchen markt gekauften fertigrechner rumstehen, die nicht mehr hochfahren — denn diese irreführend als „secure boot“ bezeichnete gängelscheiße ist auf allen diesen rechnern ab werk aktiv. Na, die werden sich aber sicherlich darüber freuen.

Und jenen, die ein unixoides betrübssystem irgendwie kryptisch finden und deshalb irrazjonale angst davor haben, empfehle ich mal einen genauen blick auf den heise-artikel. 😀

Ach ja, und wenn ihr „secure boot“ im BIOS einfach ausgeschaltet lasst und auf gar keinen fall — wozu euch die reklamefinanzierten analjornalisten von heise in offener verachtung eurer intelligenz bestupsen wollen — wieder einschaltet, macht ihr nichts falsch. Der rechner läuft auch ohne diese meikrosofte gängelscheiße, und er läuft trotz des irreführenden namens dieses antifunkzjonsmerkmales kein bisschen unsicherer. Ganz im gegenteil, er fährt dann immer garantiert hoch, wenn ein betrübssystem installiert ist und die installazjon nicht gerade total zerschossen wurde. Und das gilt sogar für betrübssysteme, die nicht mit einem schlüssel von meikrosoft signiert sind. (Und wenn auf eurem windohs tatsächlich eine schadsoftwäjhr gelaufen ist, die genügend rechte hatte, um den bootsektor der festplatte zu überschreiben, dann habt ihr sowieso ein so unheilbar schweres problem, dass ihr euer windohs neu installieren dürft.)

So, und jetzt zur entspannung nach der ganzen scheiße ein kleines, heiteres filmchen aus den besseren tagen des chaos communication congress.

Klaut des tages

Geht in die klaut, haben die werber und ihre hässlichen brüder, die scheißjornalisten, uns immer wieder gesagt. Ihr braucht keinen administrator zu bezahlen, alles ist immer verfügbar, ihr müsst euch nicht um datensicherung kümmern und ihr habt keine datenverluste mehr, haben die werber und ihre hässlichen brüder, die scheißjornalisten, uns immer wieder gesagt.

Störung in Microsofts Cloud führt zu Datenbankverlusten bei Azure

Die Störungen bei Microsoft 365 haben dazu geführt, dass einzelne Azure-Kunden SQL-Datenbanken und Transaktionsdaten verloren haben […] Für einige Kunden, die Microsofts Azure SQL-Datenbanken verwenden, hatte das aber viel gravierendere Folgen: Sie stellten fest, dass ihre Datenbanken plötzlich gelöscht wurden

Bwahahahahaha!

Hej, aber gibt auch fett entschädigung von meikrosoft. Betroffene müssen jetzt ein vierteljahr nicht für die klaut bezahlen. Das spart richtig kohle!!!1!!1! :mrgreen:

Ich wünsche den ganzen schlipstragenden lemmingen auch weiterhin viel spaß dabei, auf scheißreklame, scheißwerber und scheißjornalisten reinzufallen! Tja, wenns gehirnchen nach einer runde bullschittbingo aus der reklame nicht mehr richtig funkzjoniert, muss man halt durch schmerzen lernen. Tut ein bisschen weh, ich weiß. Und pflaster helfen nicht, ich weiß. Aber es geht leider nicht anders. Und mitleid habe ich heute nicht in meinem angebot.

Alle anderen menschen freuen sich darüber, dass es noch softwäjhr und betrübssysteme gibt, die man ohne diesen ganzen klaut-scheiß betreiben kann. Denn die zeit des dummen terminals für die tägliche arbeit am kompjuter sollte im 21. jahrhundert auch mal vorbei sein, statt übers internetz noch einmal von neuem anzufangen.

Äppel des tages

Kennt ihr „FaceTime“, das tschättdingens auf äppel-wischofonen? Das hat einen lustigen kleinen fehler (oder ein lustiges kleines hintertürchen) (der link geht zum zwitscherchen):

Wollt ihr mal einen wirklich üblen fehler sehen? Ihr könnt über „facetime“ auf jedem iOS-gerät anrufen und anschließend von weitem abhören — ohne dass der andere auf euren anruf reagiert hat.

  1. Startet ein videogespräch mit „facetime“.
  2. Während es am klingeln ist, wischt vom unteren displayrand nach oben und wählt „person hinzufügen“ aus.
  3. Fügt eure eigene telefonnummer zum anruf hinzu.

Ihr könnt jetzt hören, was das mikrofon des anderen gerätes aufzeichnet, selbst, wenn der besitzer nicht in der nähe ist.

Ich habe das gerade in unserem büro getestet. Das andere eifohn hat eine minute lang geklingelt, und dann wurde der anruf als „fehlgeschlagen“ angezeigt. Aber ich konnte immer noch alles auf der anderen seite hören.

Ich weiß ja nicht, wie ihr damit umgeht, aber ich bin gerade damit beschäftigt „facetime“ auf meinem mäck und meinem eifohn abzustellen, bis dieser fehler behoben ist.

Das folgende konnte ich nicht selbst reproduzieren, aber @backlon@twitter.com berichtet in „the verge“, dass ein zurückweisen des anrufs mit dem einschaltknopf oder der lautstärkeregelung nicht nur zur tonübertragung führt, sondern auch zur videoübertragung.

Entschuldigt bitte die schnelle und sehr schlampige übelsetzung der fünf fiepser (ich weiß übrigens nicht, welche deutschen begriffe äppel in seinem äppeldeutsch verwendet, es werden wohl andere als meine sein), aber vielleicht findet das ja der eine oder andere interessant. Oder vielleicht langweilt sich jetzt auch der eine oder andere im büro und möchte sich mal ein paar kleine späßchen mit den wischofonen anderer leute erlauben. Empfehlen kann ich das allerdings nicht, denn es handelt sich natürlich um eine straftat, auf die drei jahre knast oder geldstrafe steht — und natürlich ist der versuch strafbar.

Auf jeden fall wünsche ich euch allen auch weiterhin ganz viel spaß dabei, eure privat- und intimsfäre mit allerhand lustigen smartdingern mit mikrofonen und kameras vollzustellen und zu verwanzen. Da kann ja gar nix bei passieren, sonst hätte euch ja vorher jemand gewarnt!!!1!!1! :mrgreen:

Nachtrag, 13:15 uhr: deutschsprachige meldung bei heise.

Linux des tages

Nutzt hier jemand manjaro linux und hat in den letzten tagen die ganzen aktualisierungen eingespielt, und dabei gab es nur noch probleme mit systemd und systemctl? So erschröckliche fehlermeldungen der art:

==> WARNING: errors were encountered during the build. The image may not be complete.
==> ERROR: binary dependency `libidn2.so.0′ not found for /usr/lib/systemd/system…

Und natürlich sind libidn2 und lib32-libidn2 installiert?

Wenn ihr das system runterfahrt, könnt ihr nur noch mit einer live-DVD rankommen. Da fährt nix mehr richtig hoch. Lasst es also!

Ihr müsst einen daungräjhd machen. (Das hat zumindest in dem einen fall geholfen, den ich gesehen habe und der mir den gestrigen abend versaut hat.)

$ sudo pacman -Syyuu

Auch weiterhin viel spaß mit der verhunzung von linux! Und wenn ihr schon arch linux benutzt, dann nehmt doch bitte einfach das original! Allein schon, weil es da mehr leute gibt, die es ebenfalls nutzen, so dass man bei solchen fehlern auch hilfreiche informazjonen im web findet, und nicht nur die berichte von leuten, die das gleiche scheißproblem haben. Für jemanden, der nicht ganz so erfahren ist, ist das oft kampfentscheidend. Ich weiß ja, dass manjaro behauptet, irgendwie „benutzerfreundlich“ zu sein. Was das schön klingende versprechen wert ist, sieht man an diesem text. Übrigens hat der bei manjaro immer noch verwendete systemd 239 ein paar bedauerliche sicherheitsprobleme mit beliebiger kohd-ausführung als root, natürlich auch übers netzwerk *grusel!*, die im systemd 240 gefixt wurden und bei arch linux schon längst laufen. Aber hej, dafür ist manjaro „benutzerfreundlicher“. Sagt es über sich selbst. Toll! Dann nehmt doch unbuntu, das ist noch viel „benutzerfreundlicher“! :mrgreen:

Für mich ist jedenfalls „benutzerfreundlich“ in der selbstreklame von betrübssystemen ein wort, das man am besten mit „lass die finger davon“ übersetzt.

Security des tages

Benutzt hier jemand PHP PEAR?

Der auf pear.php.net bereitgestellte Installer go-pear.phar ist seit rund 6 Monaten kompromittiert. […] Solltest du in den letzten 6 Monaten PEAR selbst über go-pear.phar installiert haben, hast du vermutlich eine kompromittierte Version erwischt und solltest jene dringend gegen eine neue, saubere Version austauschen […] Wenn du dir auf eigene Faust innerhalb der letzten 6 Monate PEAR installiert hast, in dem du der offiziellen Anleitung gefolgt bist und go-pear.phar verwendet hast, solltest du der Empfehlung des PEAR-Teams folgen und dir eine frische Version der go-pear.phar vom GitHub-Account von PEAR ziehen

Hl. scheiße! Auf die meisten betroffenen wird da wohl wesentlich mehr arbeit zukommen, wenn sie ihren dschobb ernst nehmen.

Aber linux ist doch sicher…

Na, benutzt hier jemand eine debianoide linuxdistribuzjon wie etwa unbuntu?

Kritische Sicherheitslücke in Debians Update-Tools

😳

Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten […] Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird

Also schnell die aktualisierung einspielen! Und hoffen, dass man dabei nicht gepwnt wird! Mit windohs wäre das nicht passiert, dass die korrigierte versjon schon verfügbar ist, während noch die heise-artikel mit der warnung getippt werden.

Übrigens liegt das problem nicht an der unverschlüsselten übertragung digital signierter dateien, deren signatur hinterher überprüft wird, wie der fach- und lachverlag heise in seinem alarmartikel überdeutlich den eindruck erweckt, sondern daran…

When the HTTP server responds with a redirect, the worker process returns a 103 Redirect instead of a 201 URI Done, and the parent process uses this response to figure out what resource it should request next […] Unfortunately, the HTTP fetcher process URL-decodes the HTTP Location header and blindly appends it to the 103 Redirect response

…dass einem rückgabewert aus dem internetz ungeprüft vertraut wird. HTTP ermöglicht allerdings einem dritten auf der leitung (zum beispiel der NSA oder unseren werten verfassungsfeinden aus den innenministerjen) darin ohne nennenswerten aufwand nach herzenslust herumzumanipulieren, ohne dass diese manipulazjon auf dem transportweg erkennbar ist.

Wenn ich die kwellen für so eine meldung lesen muss, um zu verstehen, um was zum hackenden henker es überhaupt in wirklichkeit geht, dann kann sich der werte herr jornalist sein alarmierendes und verdummendes geschreibsel der marke „mit HTTPS wäre das nicht passiert“ auch gern mal dahin stecken, wo keines sönnchens strahl die kotigen massen zu durchdringen vermag. Generell sind eingaben aller art zu überprüfen. In jeder verdammten softwäjhr. Auch bei HTTPS. Vor allem, wenn es um so etwas heikles wie die auslieferung von sicherheitsaktualisierungen geht.

Man könnte sogar andersherum argumentieren (natürlich nicht völlig ernstgemeint): HTTPS hätte die erkennung dieses fürchterlichen fehlers (oder dieser von einem geheimdienstlich bezahlten halunken in apt verbauten hintertür) erschwert oder verhindert. Im debian-projekt hat ja wohl auch in den letzten jahren niemand beim intensiven lesen der quältexte von selbst diese schwachstelle bemerkt, und das wäre in den kommenden jahren eher nicht besser geworden… :mrgreen:

Meine fresse, heise!

Ja, TLS ist trotz aller seiner probleme wichtig. Aber es löst nicht alle probleme. Ein dummer fehler ist ein dummer fehler ist ein dummer fehler. Der passiert. Der muss korrigiert werden. Der wird korrigiert. Das kann man nicht durch TLS ersetzen. Das kann man durch gar nix ersetzen.

Weia!

Meikrosoft des tages

Suchmaschine:
Microsoft Bing empfiehlt Bilder von sexuellem Kindesmissbrauch

Übrigens: danke, heise, dass ihr trotz der sperrigkeit dieser worte in der überschrift klar von „bildern von sexuellem kindesmissbrauch“ sprecht und nicht von „pornografie“, denn letztere wird mit einwilligungsfähigen erwaxenen menschen hergestellt. Der unterschied ist so groß wie der unterschied zwischen sex und brutaler vergewaltigung — und das sind zwei kategorien, die man nicht einfach so vermischen sollte, wie es fast jeder scheißjornalist an der reklamevermarktungsfront tut.

Übrigens bringt es in meinen augen nicht viel, die bilder in einer suchmaschine wie bing oder guhgell unsichtbar zu machen, wenn gleichzeitig organisierte kinderficker wie die hl. röm.-kath. kirche in so vielen staaten weiterhin besondere privilegjen genießen und ihre „fälle“ einfach selbst aufklären. Wer bilder unsichtbar macht, schützt keine kinder, sondern will mit gewalt vertuschen, was ihnen angetan wird. Das „funkzjoniert“ so erschreckend gut, dass es beinahe nie zu einer strafverfolgung kommt, weil auch die kinder und ihre eltern schweigen.

Zensur in irgendeiner form hat noch nie etwas wünschenswertes bewirkt. (Ja, ich habe auch einen empfindlichen magen. Aber wartet erst mal bis die anfangs ja durchaus gut begründeten zensurbestrebungen bei web-suchmaschinen auf alles andere ausgeweitet werden! Mir wäre es wesentlich lieber, die suchmaschinen wären den inhalten gegenüber neutral.)

„Cyber cyber“ des tages

Wo bleiben eigentlich die pösen russischen häcker, von denen euch die onkel und tanten journalisten immer erzählen. Die hätten es doch gar nicht so schwer, wenn sie hier mal infrastruktur häcken wollten:

Neef und Schäfers wundern sich, als sie das erste Mal eine Flowchief-Installation mit vorausgefüllten Nutzernamen entdecken: In dem Feld steht WW, für Wasserwerk. Aus Spaß tippen sie WW als Passwort ein und klicken auf Login. Sie staunen nicht schlecht, als sie anschließend Zugriff auf die Verwaltungsoberfläche des Wasserwerk Michelau haben

Weia!

Security des tages

Na, benutzt hier jemand eine tastatur oder eine maus von logitech? Unter windohs? Mit einer „konfigurazjonssoftwäjhr“ von logitech (wofür auch immer, aber hej, ist halt windohs)?

Aufgrund einer fehlenden Prüfung nimmt die Software Befehle von beliebigen Websites entgegen und führt Kommandos aus. Auf diesem Weg könnten entfernte Angreifer zum Beispiel Tastaturen fernsteuern und so quasi direkt Schadcode in bedrohte Systeme eingeben

Weia! Was hat so eine… ähm… sicherlich nicht zufällig entstandene „fernwartungsfunkzjon“ in einem angeblichen treiber zu suchen?! Die wurde da doch mit irgendeiner absicht reingemacht, und dahinter steht ein vorhaben, das den käufern von logitech-produkten sicherlich nicht gefallen würde, wenn logitech es offen kommunizierte. Kohd entsteht nun mal nicht von allein. Leider.

Wieso ich „angeblicher treiber“ schreibe? Naja, typischerweise steht auf solchen mitgelieferten CDs oder gar DVDs zu mäusen und tastaturen „treiber für meikrosoft windohs“ drauf, aber da ist kein für den betrieb unter meikrosoft windohs erforderlicher treiber drin, sondern ein kackfass voll mit beim einlegen halbautomatisch installierter, unnützer blähscheiß-softwäjhr und gar nicht so selten sogar offene schadsoftwäjhr (wie träckende brausererweiterungen, irgendwelche adwäjhr und dergleichen drextrojaner). Und so kommt es dann, dass ein „treiber“, der auf richtigen betrübssystemen im schlimmsten fall ein paar hundert kibibyte zum installazjonsumfang beitragen würde, unter meikrosoft windohs zur installazjon von hunderten von mebibytes führt.

Probierts aus! Steckt die maus rein! Steckt die tastatur rein! Die funkzjonieren auch so (nachdem windohs mit seiner hardwäjhr-erkennung durch ist). Ohne den angeblich alles besser machenden und erforderlichen „treiber“. Sogar unter windohs. Ja, sogar schon unter windohs 98. 😉

Auch weiterhin viel spaß bei der täglichen vergewohltätigung durch konzerne, die euch hassen und verachten!

Händi-fernkontoführung des tages

Die folgende anmerkung zur fernkontoführung mit dem wischofon wird ihnen nicht von einem häcker, sicherheitsforscher oder sonstigen nörgler, sondern vom kundendienst der comdirect bank AG auf dem zwitscherchen präsentiert.

Du nutzt die banking App und erhältst beim Öffnen der App u. g. Fehlermeldung? Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU -- Fehlermeldung: Etwas oder Jemand verändert Ihre Verbindung. Ein Verbindungstest zu secure.outbank.io hat ergeben, dass eine gesicherte Verbindung unmöglich ist. Bitte kontaktieren Sie den Support! Fehler 200. (f1fc8119, 354, 354)

Bitte gehen sie weiter! Hier gibt es nix zu sehen. Nähere informazjonen würden sie nur beunruhigen. Auch weiterhin viel spaß bei der fernkontoführung mit dem wischofon!

Hinweis via @benediktg5@twitter.com

Braucht hier vielleicht jemand etwas geld?

Geld ohne Pin:
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden

[…] 85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt […] Automaten kommunizierten […] auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen […] liefen unter Windows XP […] besonders gravierende „Zero Days“-Schwachstellen [sic!] in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore)

Geil, durch schlangenöl noch unsicherer gemacht! 😀

Aber bevor ihr jetzt loshäcken wollt, denkt mal kurz nach! Die leute, die sich jackpots an geldautomaten ziehen, sprengen oder flexen die dinger lieber auf, und das scheint auch ganz gut zu klappen. Für die häcks braucht man fysischen zugriff auf den verbauten kompjuter, muss also ein bisschen rumbohren oder rumsägen und auch wissen, wo man das tut. Meistens sind überwachungskameras auf die dinger gerichtet, man will also schnell machen und schnell wieder wegkommen, wenn man da geld rausholt, und das verträgt sich nicht mit langer fummelei. Und ob die leute viel von dem geld aus gesprengten automaten haben, ist auch fraglich. Da sind typischerweise dünne glasröhrchen mit fieser markierungsfarbe neben den geldscheinen (kriegt man nicht mehr ab, diese soße, jedenfalls nicht so, dass der schein dabei erhalten bleibt).

Kurz gesagt: vieles an dem alarmtönenden heise-artikel ist bullschitt. Wenn man fysischen zugriff auf einen kompjuter hat, ist wohl jeder kompjuter unsicher. Und wenn die ganzen begrifflichen fehlgriffe im artikel aus einer PResseerklärung irgendwelcher spezjalexperten abgeschrieben wurden und nicht in der karl-wiechert-allee passiert sind, dann können die banken erstmal beruhigt sein. Denn leute, die solche fehler machen, sind nicht wirklich kompetent.

S/M-security des tages

Nutzt hier jemand instagram?

Dass diese ganzen klitschen aber auch probleme damit haben, so eine sicherheitstechnik aus den siebziger jahren, das gesaltete häsching von passwörtern für die speicherung, anzuwenden. Na ja, ansonsten sind ja alle daten bei denen in allerbesten händen. Auch weiterhin viel spaß beim festen glauben an den datenschutz!