Meikrosoft des tages

Na, hat sich hier schon jemand dieses offißß 365 von meikrosoft andrehen lassen, weil eine terminal-anwendung nach ideen aus den großrechner-architekturen der sechziger jahre ja viel moderner und hipper ist und die klaut sowieso viel besser ist als der eigene massenspeicher und der eigene kompjuter?

Eines der verblüffendsten Ergebnisse ist, dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash übermittelt

Meine fresse! Oh, wie kriege ich diese hand wieder aus dem gesicht‽

Klar, das passwort wird über TLS übertragen, also mit transportverschlüsselung (wie bei HTTPS). Aber in einer unternehmung sitzt normalerweise mindestens ein proxy zwischen firmennetz und internetz. Und der macht viel mehr, als einfach nur proxy zu sein, zwischenzuspeichern und zugriffe zu beschleunigen. Oft macht er zum beispiel auch HTTPS unter verwendung eines eigenen zertifikates auf (zum beispiel für virenskänns und anderes schlangenöl), und dann wird halt auf den firmenrechnern ein weiteres TLS-zertifikat installiert, damit das ruckelfrei geht. Der privatschlüssel, den man braucht, um mit jedem irgendwo reingehängten einplatinenrechner die verschlüsselte übertragung mitlesen zu können, liegt dann auf dem proxy. Und dann gibt es natürlich auch noch lokale antivirus-schlangenöle, die genau die gleiche nummer machen und wo es eher ein noch kleinerer akt wird, die damit von sicherheitssoftwäjhr aufgerissene sicherheitslücke auszunutzen. Das ist eher so eine fingerübung für ein ehrgeiziges kind. TLS ist im arsch. Wir haben nur leider zurzeit nix besseres.

Mit einer sicherheitstechnik aus den frühen siebziger jahren, nämlich dem gesalteten häsching eines passwortes für die speicherung und die übertragung über einen möglicherweise unsicheren kanal, ist man bei meikrosoft aber leider überfordert.

Bedeutet das etwa, dass meikrosoft gar nix mehr hinkriegt? Aber nein doch. Es bedeutet nur, dass meikrosoft auch schon die elementarste kompjutersicherheit scheißegal ist. An anderen stellen zeigt sich meikrosoft hingegen sehr ambizjoniert, und…

Ebenso überrascht, dass Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet

…die permanente heimliche überwachung des anwenders an seinem datensichtgerät funkzjoniert natürlich ganz hervorragend. Müsst ihr verstehen! Daten sind das öl des 21. jahrhunderts (A. Merkel). Das muss man aus den menschen rausfördern! Mit allen mitteln. Zur not mit dem äkwivalent zum fräcking. Da kann man sich doch nicht auch noch an gesetze halten, bei dem ganzen schönen öl und dem ganzen schönen reichtum durch datensammlungen. Oder sich gar um so einen unwichtigen scheißkram wie passwortsicherheit kümmern, wenn man eigentlich nur überwachungsfunkzjonen haben will und den menschen künstliche abhängigkeiten ins leben drücken will, damit sie niemals niemals niemals wieder frei werden…

Datenschleuder des tages

Outlook.com, der mäjhldienst von meikrosoft, hat über einen zeitraum von drei monaten hinweg die daten und den mäjhlverkehr einer unbekannten anzahl von nutzern „veröffentlicht“. Davon können übrigens auch nutzer einer alten hotmail-adresse betroffen sein — und das waren ja doch eine ganze menge…

Auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz eurer persönlichen und intimen daten. (Ja, mäjhl ist manchmal auch intim.) Die liste wäxt und wäxt und wäxt.

Kwantitätsjornalismus des tages

Habt ihr auch alle irgendwo gelesen, wie sich diverse contentindustrielle medien darüber gefreut haben, dass die meisten messerstecher michael mit vornamen hießen? Habt ihr auch alle diese häme über eine AFD gesehen, deren ausländerfeindlichkeit in der antwort auf die frage nach den vornamen von messerstechern entlarvt wurde? Allein mir ist das gefühlt zwei tage lang auf allen möglichen kanälen vor augen gestellt worden, und zwar immer mit einem ordentlichen schuss spott auf die AFD. Das kleine problemchen bei spott und häme: so ganz stimmt die geschichte nicht, wie sie euch viele jornalisten (und noch mehr ihrer S/M-nachplapperer) erzählt haben [archivversjon gegen das vergessen im internetz].

Fernkontoführung des tages

Die fernkontoführung bei der hippen N26-bank mit hipper äpp und hippem kundendienst über einen tschätt kann einem schon mal einen ganzen monat begrenzter lebenszeit versauen, wenn das geld auf einmal weg ist. Aber immerhin, dafür kann man so hipp tschätten:

Seitz: Wie ist mein Kontostand (…)
Seitz: vorher war er um 80.000 € (…)
N26: Axel, ich muss dringend mit den Kollegen direkt ein paar Sachen klären. Kannst du beim Chat bleiben?
Seitz: Ja
N26: In deinem Konto ist z. Z. nicht mal mehr als 30 EUR übrig, sorry.
Seitz: Wie bitte?
N26: 12,26 EUR. (…)
N26: Melde dich sofort bei der Polizei. Wir tun unser Bestes, dich zu unterstützen auch bei der Klärung dieses Falls.
Seitz: Ich kann es nicht glauben
N26: Bitte habe etwas Geduld.
Seitz: Ich möchte eine Telefonnummer unter der ich jemand persönlich sprechen kann.
N26: Wir bieten leider keinen Telefon-Dienst mehr an, sorry.

Ich denke mal, die näxste verbesserung im „kundendienst“ ist dann, dass der tschätt von einem „künstlich intelligenten“ tschättbot bedient wird. :mrgreen:

Unabhängig von dem langsamen Kundenservice stellt sich die Frage nach Sicherheit. Wie das Geld bei den beiden Fällen abhanden kommen konnte, ist bislang nicht geklärt

Ist es vielleicht doch nicht so eine gute idee, seine fernkontoführung mit einem wischofon zu machen? :mrgreen:

Nachtrag 29. märz, 11:45 uhr: das mit dem tschättbot für den kundendienst habe ich nicht ernstgemeint, aber N26 meint das völlig ernst:

Wir haben vor einigen Monaten einen Chatbot gestartet, der natürlich noch nicht perfekt ist. Der Chatbot wird sich über die Zeit als zusätzliches Tool entwickeln und wir sind zuversichtlich, dass er unseren Kundenservice ergänzen kann. Wir geben Kunden aber natürlich die Möglichkeit, sofort mit einem „echten“ Mitarbeiter zu chatten, wenn sie es wünschen. Dennoch war das Feedback von den Kunden seit der Einführung sehr gut und wir hoffen, dass sich kein Kunde als Versuchskaninchen versteht

Das mit dem „echten mitarbeiter“ wird sich vermutlich irgendwann genau so in luft auflösen wie sich schon längst der telefondienst in luft aufgelöst hat. Aber hej, keine panik, was kann da schon schiefgehen?! Es geht ja nur um geld. Und zwar mit händis übers internetz. Das internetz ist von kriminalität geprägt, wo immer es um geld geht, und die händis sind ein einziger security-albtraum. Werft eure bunten zettel schön in die flammen!

Security des tages

Die Funkalarmanlage Secvest (FUAA50000) von Abus ist nicht aussreichend abgesichert, sodass Angreifer die Anlage in Funkreichweite ausschalten könnten. Insgesamt ist sie über drei Sicherheitslücken (CVE-2019-9860, CVE-2019-9862, CVE-2019-9863) attackierbar

Hej, die dinger kosten nur rd. 370 øre bei den billigsten anbietern, da könnt ihr doch nicht auch noch erwarten, dass sicherheitskritische fehler in der scheißsoftwäjhr von abus gefixt werden.

Eine robuste tür nebst dazu passendem rahmen, an der „normale“ einbrecher verzweifeln, ist nur wenig teurer. Aber die ist natürlich nicht smart und ditschitäll genug, ich verstehe… und außerdem nicht über unverschlüsseltem funk von außen zu erreichen, was man ja unbedingt bei einer alarmanlage haben muss.

Security des tages

Ähm… benutzt hier jemand kompjuter von ASUS?

Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war. Das betroffene Live-Update-Tool wird standardmäßig auf Asus-Laptops und anderen Geräten des Herstellers installiert

Oh, da ist bei ASUS wohl der private schlüssel kopiert worden.

Security des tages

Sicherheitslücke:
Funktastatur nimmt Befehle von Angreifern entgegen

[…] Die Tastatureingaben überträgt Fujitsu über ein proprietäres Funkprotokoll mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard). Der USB-Dongle-Empfänger nimmt allerdings auch unverschlüsselte Eingaben entgegen, solange sie in dem richtigen Format geschickt werden […]

Weia!

Smartdingens des tages

Wisst ihr noch, früher? Da hat man alarmanlagen verbaut, damit man nicht beklaut wird und um diebe abzuschrecken. Heute ist alles smart, ditschitäll und mit wischofon-äpp. Da verbaut man alarmanlagen, um die diebe anzulocken, damit sie einen auch beklauen.

Ohne dass der Besitzer des Fahrzeugs es mitbekommen hätte, konnte der Angreifer dann dessen Auto orten, den Schlüssel klonen und das Auto mit seiner Handy-App aufschließen und wegfahren können [sic! …] Was es noch viel unglaublicher macht, dass Pandora behauptet hatte, die eigene Alarm-Technik sei unhackbar

Ich wünsche auch weiterhin viel spaß dabei, auf die lügen des werbers und seines stinkenden bruders, des jornalisten reinzufallen. „Unhackbar“. Na, wie es in diesem fall wirklich aussieht, wisst ihr jetzt ja.

Security des tages

Hej, die website hat TLS, die ist sicher. Kannst sogar aufs schlösschen klicken, das ist wirklich ih-bäh, nicht irgendein phisher. Gut, dass inzwischen alles so klicki-klicki sicher ist, sonst gäbe es ja richtig viel kriminalität:

Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung

😯

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert

Ah, ich verstehe, kennt man schon ein paar jährchen bei ih-bäh, den trick. Na, dann ist es ja völlig verständlich, dass ih-bäh da gar nix machen kann. Nicht.

Auch weiterhin viel spaß mit dieser obersten priorität, welche die sicherheit und der schutz von… ähm… vor trickbetrügern bei den großen, milljardenschweren internetzklitischen hat! Gefühlte sicherheit fühlt sich doch gut an, und das schlösschen im brauser stimmt auch. Was will man da noch mehr? :mrgreen:

Schon merkwürdig…

…dass die flugzeuge der flugbereitschaft der bummswehr jahrelang weitgehend anstandslos geflogen sind, jetzt aber immer wieder versagen. Ein bisschen schade finde ich persönlich es ja, dass sie immer noch viel zu selten mit ihrer p’litiker- und beamtenfracht vom himmel fallen. Aber scheinbar arbeitet die BRD dran. Und bis dahin schickt man eben einfach einen zweiten airbus nach mali, die verwendung eines linjenfluges ist ja für einen bummsgerechtigkeitsverhinderungsminister unzumutbar. Schon die verwendung einer normalen transportmaschine ist für herrn Maas unzumutbar, scheiß auf die klimabilanz. Oder, um es mit einem kommentar im verlinkten blog zu sagen:

Und dabei stand noch ein Flieger, 1/4 voll heute in Bamako mit Ziel Köln. Aber wer fliegt schon gerne mit Soldaten, die Stellen nachher noch unangenehme Fragen

Mein tipp für die propagandistische aufbereitung der sich ständig vergrößernden peinlichkeit: der pöse pöse russe ist daran schuld!!1!!!

Verrecke, bildzeitung, verrecke!

Habt ihrs mitgekriegt, wie der springerverlach eine zeitschrift namens „bild politik“ einführen will? Klingt ja schon vom namen her ein bisschen wie ein vereinsblatt der AFD, und überhaupt ist der name ein eingeständnis, dass die andere, seit jahrzehnten etablierte und immer noch schrecklich erfolgreiche bildzeitung eine „bild tittitäjhnment und hetze“ ist. Der springerverlach ist jedenfalls, wenn man dem mund seines obermotzes Mathias Döpfner glauben darf, mit dem überragenden erfolg dieser einführung seiner neuen marke der bildzeitung hochzufrieden [archivversjon]:

Es sei noch nicht entschieden, wie es mit dem bisherigen Pilotprojekt Bild Politik weitergehe, sagte Mathias Döpfner Anfang dieser Woche bei einem Auftritt im Hamburger Presseclub. Die ersten „Marktergebnisse“ seien aber „sehr ermutigend“ […] Laut Verlag sollten die Verkaufsstellen mit insgesamt 20.000 Exemplaren beliefert werden. Der Launch des Magazins wurde von umfangreichen Werbemaßnahmen (u.a. in lokalen Radiosendern sowie am Point of Sale) begleitet […] Zahlen aus dem Testmarkt recherchiert, nach denen die Premierenausgabe – offiziell an 2.000 Verkaufsstellen erhältlich – auf eine verkaufte Auflage von 2.500 bis 3.000 Exemplaren gekommen sein soll

Fast anderthalb verkaufte exemplare pro verkaufsstelle! Ein riesen erfolg!

Bwahahahahaha!

Immerhin: die haben mehr als tausend davon verkauft, nachdem sie wochenlang im plärrradio teuer reklame dafür gemacht haben.

Bwahahahahaha!

Stirb, jornalist, stirb! Verrecke, bildzeitung, verrecke! Nehmt eurer nach scheiße stinkendes scheißleistungsschutzrecht mit ins würmerloch, ihr dummen arschlöcher!

Security und krüpplografie des tages

Das ist ein digital signiertes PDF-dokument, das kann niemand manipuliert haben [archivversjon].

21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war […] Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht

Kurz gesagt: wenn es um die implementazjon von kryptografischen sicherheitsfunkzjonen geht, schlampen alle. Wer braucht im zeitalter der internetzkriminalität schon eine gewissheit darüber, dass ein dokument unverändert ist?

Zurück in die vergangenheit

Und jetzt zu den first world problems, die man im internetz der turnschuhe haben kann:

Nikes selbstschnürende Turnschuhe:
Firmware-Update per Android legt Sneaker lahm

Laut Usern kommt es vor, dass sich der linke Schuh nicht mit dem Smartphone verbinden lässt. Vom Bricking-Bug ist wiederum der rechte Adapt BB betroffen: Die Android-App gibt hier dann einen Fehler aus und es geht mit dem Update nicht weiter

Bwahahahaha!

Schöne neue welt des smart- und digitaltinnefs: endlich können wir auch überteuerte turnschuhe bricken! Ist ja kein problem, einfach wegschmeißen und neue kaufen, seid ihr ja auch von dem ganzen anderen fabrikfrischen sondermüll mit smarthintergrund gewöhnt, bei dem man zum beispiel keinen akku mehr wexeln kann, auch wenn sonst noch alles funkzjoniert. Kostet ja nur ein paar hundert dollar, der schrott. Mögen die giftigen müllberge vor den städten zum himmel waxen, denn das ist das wirtschaftswaxtum!

Es wäre allerdings erfreulicher, wenn den käufern solchen schrotts ein gehirnchen wüxe. Dann würden sie sich so einen schrott nämlich nicht mehr andrehen lassen und mit ihren dollars sinnvolleres anfangen.

Security des tages

Kauft tretroller mit elektromotorunterstützung, haben sie gesagt. Das ist hipp, mobil, smart, umwelt und sicher, haben sie gesagt:

Der E-Scooter Xiaomi M365 weist eine gefährliche Sicherheitslücke auf: Jedermann kann via Bluetooth den Tretroller zum plötzlichen Bremsen oder Beschleunigen bringen. Das ist gefährlich, weil so Stürze oder Zusammenstöße provoziert werden könnten. Möglich ist auch die dauerhafte Sperre des Geräts, was eigentlich als Diebstahlschutz gedacht ist, und sogar das Installieren anderer Firmware […] Zimperium hat entdeckt, dass die zum E-Scooter passende App vom Besitzer zwar ein Passwort verlangt, dieses Passwort aber ausschließlich in der App überprüft wird. Der E-Scooter selbst überprüft nicht, ob ein Passwort eingegeben wurde. Er nimmt Bluetooth-Befehle von jederman entgegen und führt sie ungeniert aus

Auch weiterhin viel spaß mit dem ganzen hippen, digitalen schrott mit zugehöriger wischofon-äpp von irgendwelchen klitschen! Da braucht das fahrzeug dann eben auch bluetooth, und irgendwie absichern ist so gestern. Was kann dabei schon passieren?

(Freut ihr euch auch alle schon so auf die „selbstfahrenden“ autos?)

„Internetz der dinge“ des tages

Dieses internetz der dinge ist wirklich toll, man kann alles aus der ferne machen und muss gar nicht mehr aus seinem sessel aufstehen. Jetzt müsste nur noch jemand an elementare sicherheitsmaßnahmen denken, wie etwa, das unmittelbar nach inbetriebnahme ein neues passwort erzwungen wird. Oh, viel zu schwierig? Na gut, dann wird eben gepwnt:

Mit einem Default-Benutzernamen in Kombination mit dem Standardpasswort 1234 können Angreifer via Webbrowser auf weltweit Tausende von Kühlsystemen des taiwanesischen Herstellers Resource Data Management (RDM) zugreifen

Eins, zwei, drei und vier; und dein kühlschrank gehorcht jetzt mir… :mrgreen:

Ändräut des tages

Grafik angeguckt, wischofon gepwnt.

Dann spielt mal alle schön die sicherheitsaktualisierungen ein! Wie, ihr kriegt keine? Na, da kauft auch mal alle schön neue wischofone! Kosten ja nicht so viel. Oder kauft euch vielleicht doch besser gleich kompjuter, auf denen euch das recht eingeräumt wird, diejenige softwäjhr darauf auszuführen, die ihr für gut und richtig haltet. Das sind dann aber meist keine händis oder vergleichbarer fabrikneuer müll für die generazjon „mein klopapier ist viel smarter als ich selbst“.

Selbst dieses fläsch ist sicherer als ändräut, denn für dieses fläsch kann jeder nutzer aktuelle, fehlerbereinigte versjonen bekommen. :mrgreen:

Aber äppel ist doch sicher…

Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext […] Der Zugriff auf die Kennwörter sei selbst durch unsignierte Apps möglich und benötige weder Admin- noch Root-Rechte