Händi des tages

Stell dir mal vor, du hängst richtig in der scheiße und brauchst hilfe, greifst nach deinem wischofon, wählst eine verdammte notrufnummer und dein scheißwischofon stürzt ab, und zwar reproduzierbar, wenn du die notrufnummer wählst

Na ja, wenigstens kann du dir dann die restzeit bis zu deinem ableben mit dem fratzenbuch versüßen. Zum telefonieren sind die scheißdinger doch gar nicht mehr gebaut.

Security des tages

Gib uns deine telefonnummer, haben sie gesagt. Dein konto wird dann viel sicherer, haben sie gesagt:

[…] kann nach einem Nummernwechsel der neue Besitzer der Nummer das Konto kapern. Facebook will dagegen allerdings nichts unternehmen

Natürlich nicht. Denen ist es noch nie um etwas anderes als das einsammeln möglichst vieler daten gegangen, und die telefonnummer ist da eher so ein zusatzmerkmal mit tollen marketing-möglichkeiten. Und ja: das gilt auch für die anderen klitschen, die „aus gründen der kontosicherheit, musste machen, komm, willst doch nicht gehäckt werden“ eine telefonnummer haben wollen, also für meikrosoft, zwitscherchen, guhgell und vergleichbare S/M-aasgeier.

Wer allerdings so einem laden die telefonnummer gibt und dem inhaber der telefonnummer zur anmeldung befähigt, und dann zu nachlässig ist, nach einem wexel der telefonnummer mal die alte zu löschen und die neue mitzuteilen, dem kann ich auch nicht helfen…

Nicht daten sind der rohstoff der zukunft. Dummheits ists.

Privatsfärenträcker des tages

Wusstet ihr, dass der feierfox auf der addon-installazjonsseite im webbrauser kohd von guhgell anallügfix eingebettet hat? Macht doch so schöne statistiken, so schöne und nützliche zahlen, wir haben das gründlich abgewogen und sagen euch: scheiß auf die privatsfäre der anwender! Oder im originaltext:

As I mentioned in #1107: we will not be removing analytics support entirely. It is extremely useful to us and we have already weighed the cost/benefit of using tracking.

Nein, das wird auf dieser seite nicht von addons wie „privacy badger“ blockiert.

via hirnfick 2.0

Datenschleuder des tages

Datenschleuder des tages ist die deutsche post, die rd. 200.000 anschriften ins offene web gestellt hat. Ein „häck“ war nicht erforderlich, um an diese daten zu kommen.

Tatsächlich war wirkliches Expertenwissen nicht nötig. Die Datenbank ließ sich einfach herunterladen. Dafür musste man nur ihren Dateinamen kennen, er lautete „dump.sql“ […] Warum dieser Dateiname verwendet wird, ist leicht zu erklären: In der Dokumentation der weit verbreiteten Datenbanksoftware MySQL wird er in einem Beispiel verwendet. Bei der Post hat jemand genau nach diesem Beispiel eine Kopie der Datenbank angelegt und offenbar versehentlich direkt auf dem Webserver abgelegt

Weia! Wohin man auch schaut, überall nur spezjalexperten! Bei vormaligen staatsklitschen wie der deutschen post reicht die kwalifikazjon „spezjalexperte“ offenbar schon aus, um die websörver nebst zugehörigen produkzjonsdatenbanken zu administrieren… 😦

Und hej, im verlinkten zeit-artikel gibts noch mehr datenschleudern, die genau das gleiche gemacht haben. Onlein-apoteken zum beispiel, die für 600.000 leute veröffentlicht haben, welche medikamente sie bestellt haben.

Ich wünsche auch weiterhin viel spaß beim festen und unerschütterlich gläubigen glauben an den überall völlig folgenlos und unter ausschluss jeglicher haftungspflicht versprochenen datenschutz, gern auch mit allerlei datenschutz-siegeln, die in webseits eingebettet sind. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

8tracks, so ein S/M-dingens zum musik-striehmen, hat seine datenbank mit 18 milljonen nutzerdatensätzen (und zum glück mit gehäschten und gesalzenen passwörtern) zu github hochgeladen und so im gesamten internetz veröffentlicht.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall mit billigen worten (und ohne jegliche haftung) versprochenen datenschutz! Die liste wäxt und wäxt und wäxt.

Security des tages

Linux-entwickler, könntet ihr bitte langsam mal einsehen, dass der systemd eine scheißidee war!

systemd-resolved could be made to crash or run programs if it received a specially crafted DNS response

Hej, damit kann man nur den systemd kräschen. Also den kompjuter kwasi ausschalten, indem man ihn dazu bringt, eine namensauflösung zu machen. (Das machen zum beispiel viele analyseprogramme, viele antispämm-programme, ach! Da werden demnächst wohl viele sörverchen „runtergefahren“…)

Schlangenöl des tages

Benutzt hier jemand meikrosoft windohs mit dem antivirus-schlangenöl von meikrosoft windows? (Viele naive nutzer von windohs acht oder windohs zehn benutzen das, ohne überhaupt zu wissen, dass sie es benutzen…)

Überprüft eines dieser Programme eine speziell präparierte Datei, die etwa via E-Mail ins Haus kam, kann es zu einem Fehler in der Speicherverwaltung kommen, der das System mit Schad-Software infiziert

Weia! 😦

Nein, das keine NSA-hintertür, obwohl eine echte hintertür genau so aussehen würde, sondern ein handelsüblicher programmierfehler. Das erkennt man daran — die kwantitätsjornalisten beim verfassen der heise-clickbait haben das nicht weiter erwähnt — dass nur die 32-bit-versjon davon betroffen ist. Eine richtige hintertür würde natürlich auch auf der viel verbreiteteren 64-bit-versjon funkzjonieren. Die allermeisten menschen sind deshalb von diesem problem gar nicht betroffen. (Macht trotzdem die verdammte sicherheitsaktualisierung!) Generell gilt aber, dass betrübssysteme aus dem überwachungsstaat USA nicht besonders vertrauenswürdig sind.

Vielleicht sollte mal jemand damit beginnen, ein schlangenöl gegen die gefährlichen fehler im antivirus-schlangenöl zu proggen und zu vermarkten… *wegduck!*

Erpressungstrojaner des tages

Eine Linux-Version der Ransomware Erebus hat Server eines Hosters verschlüsselt und so Webseiten von Kunden lahmgelegt. Auf den Servern soll veraltete, von Sicherheitslücken durchsiebte Software zum Einsatz gekommen sein […] Schlussendlich haben sich Erpresser und Opfer dem Bericht zufolge auf die Zahlung von 1 Million US-Dollar geeinigt

Mit linux wär das nicht pass… oh!

„Cloud“ des tages

Versehentliches Whistleblowing:
Geheime Daten auf offenem Amazon-Server entdeckt

[…] Unter den über 60.000 entdeckten Dateien sollen Zugangsdaten zu Servern von Booz Allen Hamilton und Passwörter von Vertragspartnern der US-Regierung mit hohen Sicherheitsbescheinigungen gewesen sein. Auch die SSH-Zugangsdaten eines hochrangigen technischen Mitarbeiters bei Booz Allen Hamilton sollen dabei gewesen sein […] Die US-Behörde sammelt Geodaten, die sie dem US-Verteidigungsministerium zur Verfügung stellt. Sie werden unter anderem für Drohnenangriffe verwendet

Ohne weitere worte.

Ich wünsche allen werbe- und jornalljegläubigen menschen weiterhin viel spaß in der so genannten „cloud“, also mit der dummen, überflüssigen und verantwortungslosen speicherung von daten auf den kompjutern irgendwelcher anderer leute.

Übrigens: achtet mal darauf, dass im golem-artikel [dauerhaft archivierte versjon, falls das noch geändert wird] nicht einmal das wort „cloud“ aufscheint, das sonst immer genutzt wird, wenn die reklame und schleichwerbung für derartige angebote verabreicht wird. Aber hej, ich bin ja ein verschwörungsspinner und ein nazi¹, wenn ich glaube, dass die reklamefinanzierte jornallje in ihrer berichterstattung nicht an den ästen sägen kann, auf denen sie sitzt.

¹Hatte ich gerade erst wieder…

Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

„Linux ist sicher“ und unbuntu des tages

Sicherheitslücke im anmeldebildschirm von unbuntu gewährt jedem zugriff auf ihre dateien

[…] „Lightdm“ grenzt die gastbenutzung-sitzung nicht korrekt ein, die standardmäßig in einer ubuntu-installazjon verfügbar ist. Ein angreifer mit fysikalischem zugang zu einem von dieser schwäche betroffenen gerät kann dies ausbeuten, um auf die dateien anderer benutzer auf dem system zuzugreifen, einschließlich der dateien im home-verzeichnis der benutzer.

Der link geht auf einen englischsprachigen text. Wer die letzten sicherheitsaktualisierungen von unbuntu gezogen hat, ist aus dem schneider, weil die gastsitzungen einfach deaktiviert wurden. Wer noch nicht aktualisiert hat, sollte es jetzt einfach mal tun… 😉

Und nein, der fehler wird nicht gefixt. Das ist unbuntu, da fixt man solche fehler nicht. Da wird einfach die funkzjon abgeschaltet. Wer wirklich gast-logins braucht, könnte dafür allerdings auch einen benutzer mit geringen privilegjen anlegen und mit einem kleinen skriptchen sicherstellen, dass der benutzer jedes mal beim wieder-abmelden (oder bei der anmeldung) „aufgeräumt“ wird.

Hinweis via @benediktg@gnusocial.de.

Kennt ihr den schon?

Der opera-brauser für ändräut ist voll datensparsam, antiträcking, privatsfäre und so mit seinem eingebauten adblocker… und transportiert selbst träckende ads in der äpp. 😳

Überall, wohin man nur schaut: angebote für die generazjon jamba auf dem weg in die idiocracy.

Bildschirmfoto via unixstickers@twitter.com, hinweis via @benediktg5@twitter.com.

„Cloud“ des tages

Legt eure passwörter in der „cloud“, also auf den kompjutern anderer leute, ab, haben sie uns gesagt. Das ist sicher und ihr habt sie immer von überall verfügbar, haben sie uns gesagt.

Britische Benutzer des Passwort-Managers Lastpass klagen über Unerreichbarkeit des Dienstes, was dazu führt, dass sie keinen Zugriff auf die gespeicherten Passwörter haben und sich bei Webdiensten nicht mehr einloggen können

😳

Schlangenöl des tages

Security:
Unfassbar schlimmer fehler im schadsoftwäjhr-skänner von meikrosoft windohs kann ausgenutzt werden, um schadsoftwäjhr zu installieren

Nachtrag: artikel bei heise onlein. Keine sorge, es handelte sich „nur“ um die funkzjonalität, irgendwelchen kohd (aus webseits, aus IM-mitteilungen, aus mäjhls, die man dafür nicht einmal anschauen muss, aus irgendwas von irgendwo) mal eben testweise mit system-rechten auszuführen. Genau die art von funkzjonalität — von irgendwelchen verschwörungsteoretikern dann als „hintertür“ bezeichnet — wie sie die NSA gern hätte. Natürlich deute ich das nur völlig beleglos an…

GNU des tages

WARNING, CLUSTERFUCK AHEAD!

Programmiert hier jemand in C++ und benutzt die libstdc++ von GNU und hat komische speicherlecks? Oder benutzt hier jemand einen modernen desktop und wundert sich, dass das dingens immer langsamer und plattenkratziger wird, wenn man es mal ein paar tage laufen lässt? Oder verwendet hier jemand eine in C++ geschriebene anwendung mit ganz großem speicherhunger?

The GNU C++ Library is Broken

Es ist etwas länger, aber die lektüre lohnt sich… auch, weil jeder mal bemerken kann, wie viel kopfschmerz so eine scheiße verursachen kann. Das beschriebene problem mit dem speicherleck in der libstdc++ dürfte (in geringerem maße) beinahe jeden menschen betreffen, der eine gegen die GNU-biblioteken gelinkte, in C++ geschriebene softwäjhr verwendet.

Via Fefe