Warum zum hackenden henker?

Warum kann ich in eine meikrosoft-excel-zelle =cmd|'/C calc'!xxx reinschreiben und beim öffnen der excel-mappe wird calc.exe ausgeführt? (Die referenz auf eine zelle ist in diesem fall völlig wirkungslos, deshalb habe ich sie durch xxx ausgetauscht.)

Und warum zum hackenden henker funkzjoniert das auch nach dem import einer CSV-datei (wisst ja, CSV ist voll sicher, da können schließlich keine fiesen makros drinsein) mit einer solchen zelle? Gut, es wird eine warnung beim öffnen/beim import angezeigt. Wir wissen alle, was anwender mit so einer warnung machen: ungelesen wegklicken, ohne dass von dieser unwillkürlichen tat auch nur ein bisschen bewusstsein zurückbleibt. Und hinterher, wenn es zu spät ist, sagen sie immer: „ich habe doch gar nichts gemacht“.

Gibt es dafür auch nur eine einzige sinnvolle anwendung, oder ist das nur eine eingebaute hintertür, damit die US-dienste kohd in einer CSV-datei verbauen und auf fremden rechnern ausführen können. Für letzteres spricht meiner meinung nach, dass diese „funkzjon“ nicht dokumentiert ist.

Hej, schön weiter überall excel verwenden, das ist voll gut. Der onkel werber hats ja gesagt, und sein stinkender bruder jornalist auch. Also muss es stimmen.

Luca-äpp des tages

Über manipulierte Einträge ins Luca-System könnten Hacker angeschlossene Gesundheitsämter lahmlegen […] Beide Angriffe funktionieren mit sogenannten code injections. Die sind im Video nicht zu sehen, wahrscheinlich um Angreifern keine Tipps zu geben, laufen aber im Prinzip wie folgt ab: Mengs fügt als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten ein, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Luca exportiert die Daten als CSV-Datei ans Gesundheitsamt. Wird die Datei dort mit Microsoft Excel geöffnet, interpretiert Excel die Sonderzeichen automatisch als Formel, und die Formel kann auszuführende Befehle enthalten

[Archivversjon]

Aber hej, keine sorge leute, es gibt schlangenöl dagegen. Natürlich könnte man alternativ auch die scheißäpp sicherer kohden…

Security des tages

Benutzt hier jemand das einzig brauchbare programm in offißß, diese tabellenkalkulazjon von meikrosoft? Oder hats auf der platte rumliegen? Da hat man schnell einen kompjuter anderer leute auf dem schreibtisch stehen.

Den Forschern gelang es nach eigenen Angaben, Excel-Dokumente so zu präparieren, dass sie, sobald sie auf dem Zielrechner geöffnet wurden, Schadcode von einem entfernten Server nachluden und ausführten. Im Unterschied zu Makros ist das hierzu genutzte Feature „Power Query“ aber nicht standardmäßig deaktiviert. Und anders als bei Makros ist unter bestimmten Voraussetzungen laut Mimecast auch keine weitere Interaktion des Nutzers in Gestalt eines Doppelklicks im Dokument notwendig

Antivirusschlangenöle helfen zurzeit nicht. DDE (ein dynamischer datenaustausch ist es nicht) abschalten hilft. Wer DDE nicht braucht, sollte das besser tun. Niemals eine datei öffnen, die per mäjhl zugestellt wurde, hilft auch — im zweifelsfall einfach telefonisch rückfragen oder überall digitale signaturen benutzen, die den absender jenseits jedes vernünftigen zweifels sicherstellen. (Die signaturen müssen aber auch geprüft werden.)

Ich bin mir sicher, dass kriminelle hochinteressiert an dieser möglichkeit sind und erwarte fürchterliche schadsoftwäjhr mit datenverschlüsselungen und erpressungen. Dagegen hilft übrigens (eingeschränkt) das regelmäßige anlegen von datensicherungen… aber das sollte ja jeder wissen. Weiß aber immer noch nicht jeder. Und dann ist dettelbach wieder überall.

Ich frage mich ja, wie viele prozent der nutzer das funkzjonsmerkmal „power query“ überhaupt nutzen? Oder es vermisst haben, als es noch nicht da war? Aber hej, macht die softwäjhr nur immer komplexer und trivialisiert gleichzeitig die benutzerschnittstellen, dass sich jeder honk als profi fühlt und mit dem kompjuter umgeht wie ein jugendlicher im geilen hormonrausch mit dem geschlechtsverkehr: schnell, einfach und gefährlich! Was kann dabei schon schiefgehen?!

In dem maße, in dem fläsch von den kompjutern verschwunden ist, laufen die kriminellen angriffe eben wieder über offißß — so wie schon damals beim mäjhlwurm ILOVEYOU. Aber da sagt seltsamerweise kein scheißjornalist, dass man diese gefährliche datenjauche besser gestern als heute von den kompjutern entfernen sollte…

Was hat uns denn noch ganz dringend gefehlt?

Kennt ihr das, dass es euch geradezu am ganzen körper zu jucken scheint, weil einer von euch benutzten softwäjhr eine ganz wichtige funkzjon fehlt? Bei meikrosoft excel zum beispiel schien es ganz vielen leuten so zu gehen, aber jetzt liefert meikrosoft ja:

Es soll in der Software künftig die Möglichkeit geben, Javascript-Funktionen in eine Tabelle einzubauen […] Javascript-Funktionen werden dabei wohl die am häufigsten genutzte Neuerung sein: Darüber lassen sich in einem Excel-Sheet spezielle Berechnungen durch Scripts ausführen – etwa ein Primzahlenrechner

Wie konnten wir alle die ganze zeit ohne leben?! Ach ja, mit VBA… :mrgreen:

Security des tages

Benutzt hier jemand eine tabellenkalkulazjon und glaubt, der import von CSV-dateien sei in jedem fall sicher, weil das ja nur text ist und kein kohd aus der datei ausgeführt wird? Nun, das ist ein kleiner irrtum.

Ich wusste bis eben gerade wirklich nicht, dass man in CSV-dateien formeln hinterlegen kann, die excel oder guhgell schiets auch noch ausführt. Vermutlich weiß das fast niemand.

[via Fefe]

Das informatische kristkind des tages

Das informatische kristkind des tages nebst extratoller bescherung geht an die verkehrsgesellschaft wartburgkreis MBH, die einen fahrpreisrechner auf ihrer webseit anbietet. Dieser besteht aus einer über onedrive (punkt) live (punkt) com eingebetteten excel-tabelle.

Vielleicht sollte den dortigen verantwortlichen mal jemand zwitschern, warum das eine gnadenlos dumme idee ist. Hier nur ein ganz kleiner tipp: nicht jeder benutzer eines webbrausers hat auch excel oder verwendet seinen webbrauser auf einem betrübssystem, für das es überhaupt excel gibt. Auf sicherheitsprobleme mit offißß-dateien aus dem web braucht man da schon gar nicht mehr einzugehen, ebensowenig auf performanz-erwägungen oder darauf, wie schnell sich das mit ein paar zeilen javascript (das sonst ja meist eine mindergute idee ist) erledigen ließe…

Oder muss man bei denen etwa nichts bezahlen, wenn man kein windohs nutzt? :mrgreen:

Bug des tages

Laut einem aktuellen Artikel weisen Tabellen von durchschnittlich 20 Prozent der Veröffentlichungen zur Genforschung Fehler auf. Sie entstehen durch das automatische Konvertieren von Daten durch Excel

Bwahahahaha! Auch weiterhin viel spaß mit „intelligenter“ und „benutzerfreundlicher“ softwäjhr, die für euch denkt und die genau weiß, was ihr wirklich wollt! Immer schön die tabellenkalkulazjon für die datenhaltung nehmen! Wer ein bisschen englisch kann, kann ja mal hier weiterlesen… oder für eine etwas ältere geschichte nachschauen, wie ein zusammenhang zwischen armut und staatsverschuldung hergestellt wurde, der heute noch in person von Wolfgang „schwarze null“ Schäuble p’litik macht, scheißegal, was dabei alles kaputtgeht… :mrgreen: