Security des tages

Hat hier jemand so ein NAS von western digital mit dem abschreckenden namen „my cloud“ bei sich herumstehen? Zieht mal lieber den stecker! Da ist werksseitig ein klitzekleines hintertürchen eingebaut worden:

Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne […] Zugriff mit Root-Rechten übers Internet […] erbat sich Western Digital bereits im Juni 2017 90 Tage Zeit, um die Sicherheitslücken zu schließen, was jedoch bis heute nicht passiert ist. Die Backdoor steht somit noch immer offen

m(

Natürlich, warum sollte man denn ein kleines hintertürchen schließen, wenn man es doch selbst eingebaut hat? (Andere erklärungen für so ein verhalten wollen mir beim besten willen nicht einfallen.) Auch weiterhin viel spaß mit irgendwelchen plastikkästen, die man euch verkauft, damit ihr sie schön, voll einfach und echt jetzt mal benutzerfreundlich mit einem ethernet-kabel ins internetz hängen könnt, ohne jemals auch nur elementare sicherheitsaktualisierungen dafür zu kriegen! Wenn euch das scheunentor nicht passt, könnt ihr ja einfach den näxsten plastikkasten kaufen.

Fest verdrahtete standard-anmeldungen für root? Das ist die neue offenheit! Den verbrechern dieser welt zum genuss und allen geheimdiensten zum wohlgefallen. Halleluja!

Aber hej, wo „cloud“ draufsteht, da regnen halt platschepampe die daten ab. Und die einladung zur freien kohdausführung für jedes siebenjährige häckkind bei seinen ersten unbeholfenen schritten ins neuland wird gleich mitgeliefert. Schon der produktname hätte bei mir eine akute kauf- und nutzungshemmung ausgelöst, so ganz irrazjonal und überhaupt nicht weiter begründbar. Ich würde ja auch keine nahrungsmittel kaufen, wo ganz groß zyankali auf der packung draufsteht… na ja, dumm kauft eben gut. Und frisst alles, was ihm werbeheins vorsetzen.

Schneller nachtrag: aus dem heiseforum, also ohne gewähr

Baugleich: D-Link DNS-320L ShareCenter

In dem Artikel wird mit keinem Wort erwähnt, das das D-Link DNS-320L ShareCenter baugleich mit dem WD Zeugs ist. Beide haben die selben hardcoded Login Daten.
Was für ein Zufall…

Es sind also vermutlich noch ein paar… ähm… fernwartbare NAS mehr im umlauf, und nicht alle tragen so alberne namen. Augen auf beim hardwäjhrkauf.

Advertisements

Kompjuternutzung wird immer einfacher!!!1!!1!

Android macht das Ausfüllen von Formularen, etwa Konto- und Kreditkartenformularen, mit der Einführung des Autofill-Frameworks einfacher. Dieses Framework verwaltet die Kommunikation zwischen der App und einem Dienst zum automatischen Ausfüllen […] Forscher haben zwei verschiedene Scripts ausgemacht (…), die darauf ausgerichtet sind, identifizierbare Informationen aus browserbasierten Passwortmanagern auszulesen. Die Scripts verrichten ihr Werk, indem sie unsichtbare Anmeldeformulare im Hintergrund der Website einfügen und alles, was die Browser automatisch eintragen, aufschaufeln

Falls jemand noch einen grund braucht, um nicht jeder dahergelaufenen webseit javascript zu erlauben. Zurzeit wird das „nur“ für träcking benutzt, aber demnächst wird es wohl auch von verbrechern geschaltete reklame geben, die login-daten für paypal, amazon, ihh-bäh und so weiter ausspäht — nebst kontoinformazjonen und den zugang zu fratzenbuch, zwitscherchen, spämmedin für betrugs- und spämmzwecke.

Einmal der normale irrsinn, bitte… facepalm des tages

Die frickelbude ATOS — „global leader in digital transformation“ oder auf deutsch: ein führendes unternehmen für „cloud“, cyber und big fätt däjhta — hat bei einem dieser beliebten BRD-leuchtturmprojekte für lichtallergiker einige ihrer besonders bewährten spezjalexperten drangesetzt, und diesmal einen mit nur selten erlebten kryptografie-sonderkompetenzen für das verkacken in regierungsmaßstäben.

Einem IT-Dienstleister war nämlich aufgefallen, dass der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilte

Hej, aber immerhin hatte man bei den schlüsseln eine schangse von fuffzich prozent, dass man auch den richtigen verteilt. Dann gehts halt auch mal schief… :mrgreen:

m(

TLS des tages

ROBOT-Angriff:
19 Jahre alter Angriff auf TLS funktioniert immer noch

[…] Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal […] Als Beleg für einen erfolgreichen Angriff gelang es, eine Signatur mit dem privaten Schlüssel von Facebooks Zertifikat zu erstellen

Weia!

Auch weiterhin viel spaß beim festen glauben an die sicherheit, die euch vom angezeigten schlösschen im brauserfenster versprochen wird! Kommt leute, der onkel jornalist hat euch doch immer wieder gesagt, dass webseits mit diesem schlösschen sicher sind. Der ist ganz großer experte und sogar jornalist, also glaubt ihm einfach!

Und vor allem: immer schön weiter irgendwelche kompjuter kaufen…

Besonders hart trifft das Problem Nutzer von ACE-Loadbalancern der Firma Cisco. Diese Geräte erhalten schon seit einigen Jahren keinen Support mehr. Im Einsatz sind sie trotzdem noch […] Vermutlich verwendet Cisco auch selbst die verwundbaren Devices für seine eigene Domain cisco.com – die Sicherheitslücke ist dort vorhanden

…bei denen andere darüber entscheiden, was für softwäjhr darauf läuft. Das prinzip kennt ihr ja schon von euren wischofonen und smartglotzen. Das ist ganz grundsätzlich eine güldene 1A extragute idee. Dann ist das mit den sicherheitsaktualisierungen auch gleich viel einfacher: einfach ein neues gerät kaufen. Kommt schon, das bisschen geld tut doch bei weitem nicht so weh wie daunlohd und installazjon fehlerbereinigter softwäjhr!

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

Schlangenöl des tages

Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten

Immerhin, der üble fehler wird gleich mit den näxsten signaturaktualisierungen gefixt (kommt, das könnt ihr doch händisch anstoßen, also macht mal!) und wurde von meikrosoft gefunden, bevor bekannt wurde, dass ihn jemand kriminell ausgebeuet hat.

Auch weiterhin viel spaß und viel gefühlte sicherheit (nebst gestiegener angriffsmöglichkeit für kriminelle) beim festen glauben an das ganze antivirus-schlangenöl.

Security des tages

Äpple ist mal wieder so richtig sicher:

Schwere Sicherheitslücke:
root ohne Passwort mit macOS High Sierra

Das ist doch bestimmt ein ganz schwieriger häck, oder? Das kann doch bestimmt nicht jedes dahergelaufene kind, oder?

Um die Lücke auszunutzen, muss man sich in die Systemeinstellungen begeben und einen Dialog auswählen, der Administratorrechte verlangt – etwa jenen, mit dem sich neue Accounts kreieren lassen. Nach dem Klick auf das Schlosssymbol zum Entsperren wird als Username „root“ eingegeben und das Passwortfeld leer gelassen. Nach einmaligem Selektieren des leeren Feldes lässt sich auf „Schutz aufheben“ klicken (gegebenenfalls mehrmals) – und man ist drin

Weia! 😦

„Cloud“ und smartdingens des tages

Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten […] Dazu benötigt man lediglich einen Computer mit WLAN-Schnittstelle in Reichweite des Funknetzes der Amazon-Kamera

Ich wünsche euch allen auch weiterhin viel spaß in eurem privaten „smarthome“ mit „cloud“-anschluss. Was kann dabei schon passieren? :mrgreen:

Smarte dinger, idjotische nutzer! Nicht daten sind das öl der zukunft, dummheit ists.

Cisco des tages

Cisco ist bei seinen geräten voll smart, einfach, schnell und mausklick:

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor

m(

Mein tipp: wenn zurzeit irgendwas damit beworben wird, dass es „smart“ ist, lasst die finger davon! Es ist nahezu immer hirnlose und gefährliche scheiße.

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll

Genau, ein administrator, der so eine werkseitig verbaute pwnage-schnittstelle für den zugriff durch das internetz und weniger vertrauenswürdige teile des firmennetzes sperrt, der hat so eine smartscheiße für unerfahrene dummanwender mit krawatte und entscheiderhintergrund ja auch sowas von nötig! Weia, dass ein aufgeblasener, kundenverachtender PR-affe von cisco so reden kann und nicht im affekt von irgendwem eine gescheuert kriegt, ist mir unbegreiflich.

Ansonsten: cyberwehr, bitte übernehmen! Der feind heißt hier ganz klar cisco! Nuke them from orbit!

Äppel des tages

Endlich können rechner nicht mehr rechnen!

Die Aufgabe „1 + 2 + 3“ sollte eigentlich nicht „24“ ergeben. Der neue Taschenrechner in iOS 11 kommt allerdings zu diesem Ergebnis […]

Bwahahaha!

Vielleicht liegt es ja an „siri“

Bwahahaha!

Aber hej, wenn die nutzer von überteuerten veräppel-fons nicht mehr richtig rechnen können, dann können sie ja auch nicht mehr bemerken, wie sie von äppel mit mondpreisen abgezogen werden. Also, liebe äppeljünger und eifohn-esoteriker: bestellt schon mal das eifohn X vor! Da funkzjoniert der äppel-taschenrechner vielleicht wieder. Bis dahin könnt ihr einfach mal rd. zehn øre für eine andere taschenrechner-äpp ausgeben, die wenigstens richtig rechnet. :mrgreen:

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Hauptsache das foto ist ohne titten und nippel…

Algorithmen kennen keine Gefühle und können deshalb ziemlich unsensibel sein, wie die Facebook-Tochter Instagram bewies: Sie nutzte für Werbung ein Foto, das die Drohung enthielt, „Ich werde dich vergewaltigen, bevor ich dich töte.“ Es handelte sich dabei um einen Screenshot einer Hass-Mail, die die Journalistin Olivia Solon vor fast einem Jahr erhalten hatte

Auch weiterhin viel spaß mit den ganzen S/M-algoritmen und der US-neurotischen angst vor brüsten. Übrigens: diese klitschen wollen „targeted advertising“ können und daraus ein geschäft machen. :mrgreen:

S/M und „targeted advertising des tages“

Das fratzenbuch weiß mal wieder genauer, was du wirklich brauchst und willst, als du es jemals selbst wissen wirst. Und die wollen „targeted advertising“ können und haben das sogar als einziges geschäftsmodell?

Bliebe die profanste aller Möglichkeiten. Facebook verspricht hier Features, die das Netzwerk zumindest in diesem Punkt überhaupt nicht beherrscht. Facebook ist zweifelsohne eine quantitativ extrem erfolgreiche Plattform. Aber wie sieht es mit der Qualität wirklich aus? Ob das Unternehmen seine Werbung wirklich so zielgruppenspezifisch anzeigen kann, wie es selbst behauptet, ist auch für Werbetreibende nicht kontrollierbar. In der Theorie hört sich das ja alles ganz toll an. Ob in der Praxis jedoch diese Versprechungen auch eingehalten werden, ist eine ganz andere Frage. Ich möchte es nicht ausschließen, dass der konkrete Algorithmus für die Gruppenempfehlungen schlicht nicht richtig funktioniert und am Ende gar keine nutzerspezifischen Empfehlungen abgibt

Und dafür haben die so einen mondkurs an der börse? Na, da wünsche ich den besitzern von fratzenbuch-akzjen aber noch viel spaß! Das einzige, was das fratzenbuch wirklich kann, ist kalte, widerliche, asozjale spämm. Wenn das mit der AFD zusamenwäxt, dann wäxt wahrlich zusammen, was zusammen gehört…

„Denkmal der politischen klasse“ des tages

In hamburch können jetzt erstmal keine schulen mehr saniert werden, weil das geld für ein viel wichtigeres projekt ausgegeben werden muss:

Nach Wasserschaden Ende April:
Schimmel in der Elbphilharmonie: Aufwendige Sanierungsarbeiten nötig

Versteht ihr sicherlich, liebe wahlberechtigte, das ist nun einmal alternativlos. Hauptsache während des G20-gipfels konnte zur erbauung der anwesenden großkopferten gäste und ihrer hofstaaten Beethovens neunte in der elbfilharmonie gespielt werden, während draußen die stadt brannte und die knüppel pogo tanzten…

Das bitte mal zum endspiel der brüllball-geldmeisterschaft!

Etliche User berichten im Samsung-Forum, dass ihr aktuelles Fernsehgerät nach dem neuesten Firmware-Update nicht mehr reagiert. Die Samsung-TVs lassen sich per Fernbedienung nur noch ein- und ausschalten, man kann aber weder Menüs aufrufen noch Fernsehen gucken

Auch weiterhin viel spaß mit den ganzen smartdingern! :mrgreen:

Und hej, bald habt ihr mit euren scheißautos die gleichen scheißprobleme. Und nein, die werden nicht zuverlässiger, wenn die softwäjhr nicht aktualisiert wird, ganz im gegenteil…