„Pöse russische häcker manipulieren wahlen“ des tages

Wahlen manipulieren können ja nur ganz pöse, staatliche häcker, es ist ja schließlich kein kinderspiel, in irgendwelche hochnotgesicherten wahlsysteme einzubrechen…

Wie TechCrunch berichtet, überwand Emmet die Sicherheitssysteme eines genauen Replikats der Seite innerhalb von gerade einmal zehn Minuten […] Insgesamt beteiligten sich rund 47 Kinder am Wahl-Hacking-Wettkampf – 89 Prozent gelang es, die Sicherheitsvorkehrungen zu umgehen

Bwahahahahaha!

Advertisements

„Internet der dinge“ des tages

Hacker Ricky Lawshae hat während der Hackerkonferenz Def Con demonstriert, wie schlecht Crestron-Gerätschaften abgesichert sind: Bei Telnet-Verbindungen über Port 41795 verlangen Geräte wie die Controller der Serie 3 oder die zur Steuerung verwendeten Touchscreens TSW-760-B-S weder Nutzernamen noch Passwort. Im Auslieferungszustand ist keine Authentifizierung nötig, um sich als Administrator mit den Geräten zu verbinden […] Mehr als 20.000 Crestron-Komponenten sind frei vom Internet aus zugänglich […] Audio- und Videodateien abspielen […] per recwave-Kommando beliebig lange Aufzeichnungen über das im Gerät verbaute Mikrofon starten

Offenheit des tages

Beim Hack der Videoplattform DailyMotion gelang es unbekannten Angreifern Ende 2016, in die Server der Seite einzubrechen und eine Datenbank mit über 87 Millionen Nutzerkonten – inklusive knapp 18 Millionen Passwort-Hashes – mitgehen zu lassen. Nun wird deutlich, dass dies deswegen möglich war, weil die Betreiber der Seite ihren Quellcode auf GitHub veröffentlicht hatten. Unter anderem fand sich in dem Code-Repository das Passwort eines DailyMotion-Administrators

Heise! Wo ist das ein häck, wenn man ein völlig offen im internetz herumliegendes passwort verwendet? Das ist nix weiter als das nutzen frei verfügbarer informazjonen, das eintreten durch eine tür, die für besucher weit geöffnet war.

Aber hej, immerhin hat DailyMotion kräftig strafe dafür latzen müssen, dass sie nach dieser im internetze ausgesprochenen einladung mal eben 87 milljonen nutzerdatensätze (mit gehäschten und gesalzenen passwörtern) mit mäjhladressen veröffentlicht haben. Fünfzigtausend øre!!!1! Das ist bestimmt fast schon ein prozent der portokasse!!!!1! Das entspricht sex hundertstel ørecent pro veröffentlichter mäjhladresse. So viel ist die privatsfäre und spämmfreiheit von menschen zurzeit in scheißeuropa wert!

Schlagzeile des tages

Commerzbank:
Kunden sollen ab Mittag wieder Geld auf dem Konto haben

[…] Während Zahlungseingänge nicht verbucht wurden, zog die Bank aber offenbar turnusgemäß Kontoführungsgebühren ab […]

Bwahahahahaha! [Dauerhaft archivierte versjon]

Gewöhnt euch schon dran! Es wird ja auch berichtet, als sei es ein ganz normales vorkommnis und nicht etwa ein mittelgroßer skandal. Und vor allem: vertraut diesen banken, die nicht einmal ihr kerngeschäft in halbwegs fehlerfreier datenverarbeitung hinkriegen, auch weiterhin euer ganzes geld an und lasst euch jeden tag von den PR-abteilungen dieser banken erzählen, wie unpraktisch doch dieses altmodische, eklige geld ist und wie viel besser man mit kärtchen und händis bezahlt! Was kann dabei schon schiefgehen? :mrgreen:

Security des tages

Sendet ein Angreifer eine cURL-Anfrage mit „AAAAAAAAAAAAAAAAAAAAAAAAAAAAA“ an verwundbare HP-Proliant-Server, könnte er diese übernehmen

Diese momente, in denen ich mich frage, wie es wohl zu so einem fehler kommt… ich bin mir sicher, dass das eine mehr oder minder gewollte hintertür (vielleicht aus einer entwicklungsfase, vielleicht aber auch vorsätzlich mit böser absicht eingebaut) ist.

Und jetzt alle so! :mrgreen:

Wisst ihr noch?

DIRTY COWWisst ihr noch? Dirty cow? Überall im oktober 2016 gefixt. Wirklich überall? Mitnichten, bei „domainfactory“ wurde „dirty cow“ angeblich im juli 2018 für einen kräck ausgebeutet. Da möchte ich nicht wissen, wie der rest der security bei „domainfactory“ aussieht… 😦

Betroffene des datenlecks fordere ich dazu auf, von ihren rechten nach DSGVO gebrauch zu machen und mindestens einen schadenersatz für ihren zeitlichen aufwand mit dieser von „domainfactory“ verbockten riesenscheiße rauszuholen. Also:

  1. Auskunft von „domainfactory“ einfordern!
  2. Den mutmaßlich grob fahrlässigen verstoß gegen die DSGVO bei der nächsten polizeidienststelle zur anzeige bringen!
  3. Schadenersatz einfordern.

Ich bin wirklich daran interessiert, zu sehen, ob diese DSGVO nur ein gesetz zur einschüchterung privater und mittelständischer webseit-betreiber ist, das niemals gegen wirtschaftsunternehmen und großdatenschleuderei angewendet wird, oder ob sich die situazjon der betroffenen solcher datenschleudereien wirklich verbessert hat.

Ach ja, auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz euer persönlichen daten! Die liste wäxt und wäxt und wäxt. 😦

Nachtrag: „ein pfund gehacktes bitte“ beim webrocker

„Cloud“ des tages

Hej, was nimmt man mal als standardpasswort für eine kamera, die sich eltern in die wohnung stellen, um ihre kinder zu überwachen, wenn sie es mal nicht direkt können? Ach, da nimmt man einfach 123, und dann baut man da extra noch eine spezjalschnittstelle ein, dass ein angreifer auch gleich das ganze LAN übernehmen kann.

Auch weiterhin ganz viel spaß mit dem ganzen techniktinnef mit internet!

Ihmezentrum-PRopaganda des tages

In ihrem aktuellen bemühen um tolle propaganda, mit der sie den leuten das scheißihmezentrum als ganz tolles, urbanes kulturgutgebäude verkaufen wollen, schrecken die reklamelügner vor keinem spott auf das gehirn mehr zurück. Da wird dann auch mal eine meldung mit dem früheren oberbürgermeister Herbert Schmalstieg (seit rund zwölf jahren nicht mehr im amt) zu einer S/M-mäßig zwitschernd als tagesaktuell verkauften jubelmeldung gemacht — damit auch noch der letzte merken kann, wie sehr seine intelligenz von diesen stinkenden, von der geldanbetenden und menschenverachtenden heuschreckenklitsche „intown“ bezahlten jubelpersern mit hirnfickhintergrund verachtet wird:

Tweet von @IhmeZentrum: Oberbürgermeister von @hannover und Investor präsentieren Umbaupläne für das #Ihmezentrum -- das Quartier soll sogar einen neuen Namen bekommen -- Erwiderung von @Jacqueline_Ebel: Wann war das denn? Der aktuelle OB heißt Schostock

Angesichts der großen löschlust dieser wohl recht gut fürs lügen bezahlten professjonellen lügner kann ich nur empfehlen, immer schnell ein bildschirmfoto zu machen, bevor die ihre spuren nach besonders peinlichen patzern wieder verwischen.

Immerhin, eines kann man von diesem kleinen fehlerchen im gutkonzertierten herumgelüge einer kwasiscientologischen hirnfickerbande lernen: Wie lange die menschen schon mit den gleichen beschissenen lügen an der nase herumgeführt werden. Schön doof, wer sich das gefallen lässt oder gar gefallen daran findet. Das wird auch durch tolle bundesbau-reklameplakate an der scheißruine nicht besser, ganz im gegenteil

Abriss: jetzt! Alternativen: keine!

Guhgell des tages — eine suchmaschine zum wegschmeißen…

Guhgell hat tolle algoritmen, voll intelligent und so, und jetzt sogar immer mehr „künstlich intelligent“. Und diese algoritmen entscheiden darüber, was bei einer guhgell-suche sichtbar wird und was nicht. Zum beispiel: wenn ich einen text zitiere und die kwelle verlinke, dann führt das dazu, dass guhgell mein zitat an erster stelle in einem suchergebnis auflistet, aber die kwelle ganz tief unten vergräbt, irgendwo, wo man auch hervorragend nach einem mord die leiche verstecken könnte, damit sie keiner mehr findet.

Bildschirmfoto des absurden guhgell-suchergebnisses

Fürwahr, ein ausgesprochen gekünstelt „intelligentes“ verhalten von guhgells algoritmen. Und vor allem genau das, was man erwartet, denn wer findet nicht lieber zitate als die kwelle, wenn er etwas sucht?! :mrgreen:

Also leute, nehmt andere suchmaschinen, verdammt noch mal! Welche ihr nehmt, ist erstmal egal. Sogar dieses bing von meikrosoft ist etwas hilfreicher, wenn man nicht irgendwelche zitate, sondern die kwelle haben will:

Bildschirmfoto des suchergebnisses bei bing, ich stehe dort zwar auch aus irgendwelchen gründen an erster stelle, aber die kwelle ist prominent gelistet

Und die von mir regelmäßig verwendete suchmaschine duckduckgo verhält sich genau so, wie man es in einem solchen fall erwartet, die kwelle steht klar an erster stelle, das zitat ist untergeordnet:

Bildschirmfoto des suchergebnisses bei duckduckgo, die kwelle steht an erster stelle, mein zitat steht direkt darunter

So muss das eigentlich sein.

Wenn selbst so eine suchmaschine aus der zweiten reihe wie duckduckgo kwalitativ bessere und nützlichere suchergebnisse als guhgell anbietet, dann ist guhgell einfach nur noch unbenutzbar. Allein schon wegen der ganzen träcking- und datensammelscheiße, die sonst noch an guhgell dranhängt.

Also leute, nehmt endlich andere suchmaschinen als dieses guhgell!

Fernkontoführung des tages

Machen sie ihre bankgeschäfte bekwem und einfach mit unserer internetz-fernkontoführung (neudeutsch: onleinbänking) und ermöglichen sie es uns damit, achtzig prozent unserer mitarbeiter zu entlassen, ihnen aber weiterhin das gleiche geld abzuknöpfen wie vorher. Was kann dabei schon schiefgehen?

Eine katastrophal schiefgelaufene Migration von Kontodaten in ein neues Datenbanksystem hat Millionen britische Bankkunden aus ihrem Onlinebanking ausgesperrt. Seit Tagen kommen sie nicht an ihr Geld […] Wer sich einloggen kann, hat demnach aber auch Probleme und bekommt Buchungen eventuell nicht zu sehen oder gar einen falschen Kontostand angezeigt. Ein Kunde konnte andere Konten einsehen und hätte sogar überweisen können, erzählte er der BBC […] eine Behebung der Probleme ist nicht in Sicht

Weia!

Das fahrradschloss für die idiocracy

Es kostet einen mondpreis von rund hundert øre und man kriegt es nicht so einfach auf, wenn man nicht den schlüssel dazu hat, außer vielleicht, man öffnet es mutwillig, gewaltsam und unbefugt, so, wie das jeder fahrraddieb tut. Müsst ihr unbedingt kaufen, ihr konsumtrottel, die ihr auf den nach scheiße stinkenden schleichwerbe-fernsehjornalismus von PRO7-galileo reinfallt! Endlich brauchen die diebe keinen unhandlichen seitenschneider mehr mit sich herumzutragen! :mrgreen:

Mit verdummenden schleichwerbe-scheißjornalismus in die idiocracy! Es geht voran!

Security des tages

„T-mobile“ ist im jahre 2018 mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren, nämlich der speicherung von passwörtern als (im idealfall gesalzene) häsches, überfordert. Und irgendwelche brechreizerregenden PR-komiker in der S/M-front begründen auch, warum:

What if this doesn’t happen because our security is amazingly good?

Da kann man nur entgegen: klitschen, die sich dermaßen selbst überschätzen, würden es vermutlich nicht einmal bemerken, wenn sie von kindern oder kriminellen gekräckt werden und alle daten rausgetragen werden. Das bemerken dann „nur“ ein paar davon betroffene kunden… 😦

Und in der tat:

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben […] Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen […] Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen […] Im Repository unter blogs.t-mobile.at fand sich eine WordPress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden

Es wird wohl gar nicht so schwierig werden, diesen vor dreister dummheit strotzenden vollidjoten-laden mit seiner „erstaunlich guten security“ zu kräcken. :mrgreen:

Auch weiterhin viel spaß dabei, solchen auf elementarsten datenschutz scheißenden und ihre kunden mit verlogenen PR-geschwafel zur datensicherheit verachtenden klitschen irgendwelche daten anzuvertrauen! Verträge kann man übrigens kündigen, und auf die löschung der daten sollte man bestehen (man hat ein recht darauf), denn von alleine werden die ihren „rohstoff des 21. jahrhunderts“ gewiss nicht löschen.

Meikrosoft des tages

Na, nutzt hier jemand windohs sieben?

Klar, ihr habt das alle schon bei Fefe gelesen, aber der vollständigkeit halber und weil heise onlein so ein passendes symbolfoto ausgewählt hat, hier nochmal:

Sicherheitspatches gegen Meltdown haben eine neue, riesige Sicherheitslücke in Windows 7 aufgerissen […] Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf […] Aufgrund der Verwundbarkeit soll jeder Prozess — auch ohne Admin-Rechte — den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können […] sogar Schreibzugriff auf den Kernel

Die haben bei meikrosoft ja nur ein halbes jahr zeit für ihren pätsch gehabt… unter so einem zeitdruck kann ja mal ein kleines fehlerchen passieren… m(

Übrigens gibt es immer wieder probleme mit dem automatischen aufspielen der sicherheitsaktualisierung vom märz 2018, die dieses problem fixt. Viele dürften sie zurzeit noch gar nicht haben.

Denen, die tiefgläubig und fest auf die kompetenz von meikrosoft vertrauen, wünsche ich auch weiterhin viel spaß mit ihren kompjutern.

Kwalitätsjornalistische kwalitätsreklame des tages

Was ein „in-image-ad“ sein soll? Man stelle sich mal vor, direkt im foto des eingangstores zum menschenvernichtungslager auschwitz mit dem markanten schriftzug „arbeit macht frei“ würde eine reklame für die sonderangebote von penny eingeblendet. Die „säxische zeitung“ liefert! [Archivversjon im lande des vollumfänglichen rechtsschutzes für beleidigte leberwürste.]

Unsere treffsichere Lösung. Ihre Werbung wird native, passgenau und sichtbar kontextsensitiv ins Bild eingebunden

Schon klar, „kontextsensitiv“. Ein tauchsieder im anus ist auch „kontextsensitiv“ und sorgt außerdem für wärme noch in der kühlsten seele. Kannste dir mal wieder gar nicht selbst ausdenken, so einen bullschitt — und das scheißpresseverleger so einen bullschitt auch noch fressen. 😦