Security des tages

Sicherheitslücke:
Funktastatur nimmt Befehle von Angreifern entgegen

[…] Die Tastatureingaben überträgt Fujitsu über ein proprietäres Funkprotokoll mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard). Der USB-Dongle-Empfänger nimmt allerdings auch unverschlüsselte Eingaben entgegen, solange sie in dem richtigen Format geschickt werden […]

Weia!

Digitaler alzheimer des tages

Irgendwann wird das auch mit Facebook, Instagram, Tumblr etc. passieren. Vertraut eure Daten nicht diesen Plattformen an

Vor allem wird das passieren, nachdem die große bigdäjhta-blase geplatzt ist und so ein altmodischer kram wie sicherungskopien nur noch kosten verursacht — wie gerade bei meiSpacke geschehen. (Für die jüngeren: da waren sie alle, bevor sie sich aufs kriminelle und spämmige fratzenbuch gestürzt haben wie ein schwarm schmeißfliegen auf eine grube voller scheiße.)

Fratzenbuch des tages

Gestern ja mal — leider nur für ein paar stunden — das stinkende fratzenbuch ausgefallen. Und ich habe es gar nicht mitgekriegt.

Ganz sicher werden es aber die vielen menschen mitgekriegt haben, die sich überall im internetz „bekwem“ mit ihrem fratzenbuchkonto anmelden. Müsst ihr verstehen, ist ja viel sicherer, als überall einen nutzernamen und ein passwort zu verwenden. Diese leute, die kein problem damit haben, wenn sich das gesamte web in eine fratzenbuch-überwachungsmaschine verwandelt, waren nicht nur beim fratzenbuch ausgesperrt, sondern aus großen bereichen des von ihnen täglich genutzen internetzes.

Zu schade, dass die nicht vorher vor zentralen infrastrukturen gewarnt wurden. :mrgreen:

Smartdingens des tages

Wisst ihr noch, früher? Da hat man alarmanlagen verbaut, damit man nicht beklaut wird und um diebe abzuschrecken. Heute ist alles smart, ditschitäll und mit wischofon-äpp. Da verbaut man alarmanlagen, um die diebe anzulocken, damit sie einen auch beklauen.

Ohne dass der Besitzer des Fahrzeugs es mitbekommen hätte, konnte der Angreifer dann dessen Auto orten, den Schlüssel klonen und das Auto mit seiner Handy-App aufschließen und wegfahren können [sic! …] Was es noch viel unglaublicher macht, dass Pandora behauptet hatte, die eigene Alarm-Technik sei unhackbar

Ich wünsche auch weiterhin viel spaß dabei, auf die lügen des werbers und seines stinkenden bruders, des jornalisten reinzufallen. „Unhackbar“. Na, wie es in diesem fall wirklich aussieht, wisst ihr jetzt ja.

Gescheiterter schubsversuch des tages

Offenbar läuft es nicht gut mit der geplanten Konvertierung der Flickr-Community in kostenpflichtige Pro-Nutzer

Tja, ist doch noch nicht jeder nutzer eines jahrzehntelang kostenlosen angebotes… sorry, man macht ja jetzt in neusprech… nicht jedes mitglied und nicht jede mitmöse der kommjunitih dazu bereit, sich so mit einem „gib vierundfuffzich øre jährlich oder wir löschen“ vergewohltätigen zu lassen. Gefällt mir! Sollten sich auch mal andere leute mit vergleichbaren geschäftsideen anschauen. So ein blick kann schnell ganz viele sinnlos verbrannten milljönchen ersparen, wenn man eine grenzkriminelle geschäftsidee hat.

Ach ja, und wer glaubt, dass es jetzt unter der peitsche von smugmug bei flickr schöner geworden ist, lese bitte in aller ruhe diesen kommentar im heiseforum, der sich mit dem deckt, was ich auch schon gehört habe… aber ein viel größeres ausmaß der rauswerf- und löschwillkür bei flickr durchschimmern lässt, als ich es bislang für möglich gehalten hätte. Solchen klitschen gibt man doch gern sein geld, oder?!

(Einmal ganz davon abgesehen, dass smugmug mir bei jeder möglichen gelegenheit sein alarmierendes „gib geld oder wir löschen“ in den weg gestellt hat, aber in dieser alarmroten überlagerung nicht ein einziges mal auch nur hauchartig angedeutet darauf hinwies, dass das nicht für CC-lizenzierte inhalte gelten soll. Na ja, egal, mich kann smugmug getrost löschen — die fraktale und die ihmezentrum-fotos sind längst bei archive.org. Diesem scheißladen traue ich gar nicht mehr. Möge der insolvenzverwalter schnell übernehmen!)

Security des tages

Hej, die website hat TLS, die ist sicher. Kannst sogar aufs schlösschen klicken, das ist wirklich ih-bäh, nicht irgendein phisher. Gut, dass inzwischen alles so klicki-klicki sicher ist, sonst gäbe es ja richtig viel kriminalität:

Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung

😯

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert

Ah, ich verstehe, kennt man schon ein paar jährchen bei ih-bäh, den trick. Na, dann ist es ja völlig verständlich, dass ih-bäh da gar nix machen kann. Nicht.

Auch weiterhin viel spaß mit dieser obersten priorität, welche die sicherheit und der schutz von… ähm… vor trickbetrügern bei den großen, milljardenschweren internetzklitischen hat! Gefühlte sicherheit fühlt sich doch gut an, und das schlösschen im brauser stimmt auch. Was will man da noch mehr? :mrgreen:

Schon merkwürdig…

…dass die flugzeuge der flugbereitschaft der bummswehr jahrelang weitgehend anstandslos geflogen sind, jetzt aber immer wieder versagen. Ein bisschen schade finde ich persönlich es ja, dass sie immer noch viel zu selten mit ihrer p’litiker- und beamtenfracht vom himmel fallen. Aber scheinbar arbeitet die BRD dran. Und bis dahin schickt man eben einfach einen zweiten airbus nach mali, die verwendung eines linjenfluges ist ja für einen bummsgerechtigkeitsverhinderungsminister unzumutbar. Schon die verwendung einer normalen transportmaschine ist für herrn Maas unzumutbar, scheiß auf die klimabilanz. Oder, um es mit einem kommentar im verlinkten blog zu sagen:

Und dabei stand noch ein Flieger, 1/4 voll heute in Bamako mit Ziel Köln. Aber wer fliegt schon gerne mit Soldaten, die Stellen nachher noch unangenehme Fragen

Mein tipp für die propagandistische aufbereitung der sich ständig vergrößernden peinlichkeit: der pöse pöse russe ist daran schuld!!1!!!

Verrecke, bildzeitung, verrecke!

Habt ihrs mitgekriegt, wie der springerverlach eine zeitschrift namens „bild politik“ einführen will? Klingt ja schon vom namen her ein bisschen wie ein vereinsblatt der AFD, und überhaupt ist der name ein eingeständnis, dass die andere, seit jahrzehnten etablierte und immer noch schrecklich erfolgreiche bildzeitung eine „bild tittitäjhnment und hetze“ ist. Der springerverlach ist jedenfalls, wenn man dem mund seines obermotzes Mathias Döpfner glauben darf, mit dem überragenden erfolg dieser einführung seiner neuen marke der bildzeitung hochzufrieden [archivversjon]:

Es sei noch nicht entschieden, wie es mit dem bisherigen Pilotprojekt Bild Politik weitergehe, sagte Mathias Döpfner Anfang dieser Woche bei einem Auftritt im Hamburger Presseclub. Die ersten „Marktergebnisse“ seien aber „sehr ermutigend“ […] Laut Verlag sollten die Verkaufsstellen mit insgesamt 20.000 Exemplaren beliefert werden. Der Launch des Magazins wurde von umfangreichen Werbemaßnahmen (u.a. in lokalen Radiosendern sowie am Point of Sale) begleitet […] Zahlen aus dem Testmarkt recherchiert, nach denen die Premierenausgabe – offiziell an 2.000 Verkaufsstellen erhältlich – auf eine verkaufte Auflage von 2.500 bis 3.000 Exemplaren gekommen sein soll

Fast anderthalb verkaufte exemplare pro verkaufsstelle! Ein riesen erfolg!

Bwahahahahaha!

Immerhin: die haben mehr als tausend davon verkauft, nachdem sie wochenlang im plärrradio teuer reklame dafür gemacht haben.

Bwahahahahaha!

Stirb, jornalist, stirb! Verrecke, bildzeitung, verrecke! Nehmt eurer nach scheiße stinkendes scheißleistungsschutzrecht mit ins würmerloch, ihr dummen arschlöcher!

Security und krüpplografie des tages

Das ist ein digital signiertes PDF-dokument, das kann niemand manipuliert haben [archivversjon].

21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war […] Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht

Kurz gesagt: wenn es um die implementazjon von kryptografischen sicherheitsfunkzjonen geht, schlampen alle. Wer braucht im zeitalter der internetzkriminalität schon eine gewissheit darüber, dass ein dokument unverändert ist?

Zurück in die vergangenheit

Und jetzt zu den first world problems, die man im internetz der turnschuhe haben kann:

Nikes selbstschnürende Turnschuhe:
Firmware-Update per Android legt Sneaker lahm

Laut Usern kommt es vor, dass sich der linke Schuh nicht mit dem Smartphone verbinden lässt. Vom Bricking-Bug ist wiederum der rechte Adapt BB betroffen: Die Android-App gibt hier dann einen Fehler aus und es geht mit dem Update nicht weiter

Bwahahahaha!

Schöne neue welt des smart- und digitaltinnefs: endlich können wir auch überteuerte turnschuhe bricken! Ist ja kein problem, einfach wegschmeißen und neue kaufen, seid ihr ja auch von dem ganzen anderen fabrikfrischen sondermüll mit smarthintergrund gewöhnt, bei dem man zum beispiel keinen akku mehr wexeln kann, auch wenn sonst noch alles funkzjoniert. Kostet ja nur ein paar hundert dollar, der schrott. Mögen die giftigen müllberge vor den städten zum himmel waxen, denn das ist das wirtschaftswaxtum!

Es wäre allerdings erfreulicher, wenn den käufern solchen schrotts ein gehirnchen wüxe. Dann würden sie sich so einen schrott nämlich nicht mehr andrehen lassen und mit ihren dollars sinnvolleres anfangen.

Security des tages

Kauft tretroller mit elektromotorunterstützung, haben sie gesagt. Das ist hipp, mobil, smart, umwelt und sicher, haben sie gesagt:

Der E-Scooter Xiaomi M365 weist eine gefährliche Sicherheitslücke auf: Jedermann kann via Bluetooth den Tretroller zum plötzlichen Bremsen oder Beschleunigen bringen. Das ist gefährlich, weil so Stürze oder Zusammenstöße provoziert werden könnten. Möglich ist auch die dauerhafte Sperre des Geräts, was eigentlich als Diebstahlschutz gedacht ist, und sogar das Installieren anderer Firmware […] Zimperium hat entdeckt, dass die zum E-Scooter passende App vom Besitzer zwar ein Passwort verlangt, dieses Passwort aber ausschließlich in der App überprüft wird. Der E-Scooter selbst überprüft nicht, ob ein Passwort eingegeben wurde. Er nimmt Bluetooth-Befehle von jederman entgegen und führt sie ungeniert aus

Auch weiterhin viel spaß mit dem ganzen hippen, digitalen schrott mit zugehöriger wischofon-äpp von irgendwelchen klitschen! Da braucht das fahrzeug dann eben auch bluetooth, und irgendwie absichern ist so gestern. Was kann dabei schon passieren?

(Freut ihr euch auch alle schon so auf die „selbstfahrenden“ autos?)

„Internetz der dinge“ des tages

Dieses internetz der dinge ist wirklich toll, man kann alles aus der ferne machen und muss gar nicht mehr aus seinem sessel aufstehen. Jetzt müsste nur noch jemand an elementare sicherheitsmaßnahmen denken, wie etwa, das unmittelbar nach inbetriebnahme ein neues passwort erzwungen wird. Oh, viel zu schwierig? Na gut, dann wird eben gepwnt:

Mit einem Default-Benutzernamen in Kombination mit dem Standardpasswort 1234 können Angreifer via Webbrowser auf weltweit Tausende von Kühlsystemen des taiwanesischen Herstellers Resource Data Management (RDM) zugreifen

Eins, zwei, drei und vier; und dein kühlschrank gehorcht jetzt mir… :mrgreen:

Ändräut des tages

Grafik angeguckt, wischofon gepwnt.

Dann spielt mal alle schön die sicherheitsaktualisierungen ein! Wie, ihr kriegt keine? Na, da kauft auch mal alle schön neue wischofone! Kosten ja nicht so viel. Oder kauft euch vielleicht doch besser gleich kompjuter, auf denen euch das recht eingeräumt wird, diejenige softwäjhr darauf auszuführen, die ihr für gut und richtig haltet. Das sind dann aber meist keine händis oder vergleichbarer fabrikneuer müll für die generazjon „mein klopapier ist viel smarter als ich selbst“.

Selbst dieses fläsch ist sicherer als ändräut, denn für dieses fläsch kann jeder nutzer aktuelle, fehlerbereinigte versjonen bekommen. :mrgreen:

Aber äppel ist doch sicher…

Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext […] Der Zugriff auf die Kennwörter sei selbst durch unsignierte Apps möglich und benötige weder Admin- noch Root-Rechte

Schlangenöl des tages

Eine von Microsoft für die Antimalware-Plattform des Windows Defenders veröffentlichte Aktualisierung (KB4052623) hindert einige Windows-10-PCs daran zu starten – das Update gibt es auch für Windows Server 2016

Ist doch ganz hervorragend: ein windohs, das nicht mehr hochfährt, kann auch nicht mehr von irgendwelchen kriminellen übernommen werden. So viel schutz!!!1! Endlich mal ein schlangenöl, das auch funkzjoniert!!elf!!!1!

Und, woran liegt es?

Admins bleibt nichts anderes übrig, als bei den betroffenen Maschinen ins BIOS/UEFI zu gehen und Secure Boot vorerst auszuschalten

Richtig, es liegt an meikrosofts bösem versuch, käufer von kompjutern mit technikverhindernder gängelscheiße daran zu hindern, auf den gekauften kompjutern diejenige softwäjhr auszuführen, die sie für gut und richtig halten. Wenn doch nur vorher jemand davor gewarnt hätte! Jetzt haben alle normalkonsumenten irgendwelche bei aldi oder satan hansa oder mädchen markt gekauften fertigrechner rumstehen, die nicht mehr hochfahren — denn diese irreführend als „secure boot“ bezeichnete gängelscheiße ist auf allen diesen rechnern ab werk aktiv. Na, die werden sich aber sicherlich darüber freuen.

Und jenen, die ein unixoides betrübssystem irgendwie kryptisch finden und deshalb irrazjonale angst davor haben, empfehle ich mal einen genauen blick auf den heise-artikel. 😀

Ach ja, und wenn ihr „secure boot“ im BIOS einfach ausgeschaltet lasst und auf gar keinen fall — wozu euch die reklamefinanzierten analjornalisten von heise in offener verachtung eurer intelligenz bestupsen wollen — wieder einschaltet, macht ihr nichts falsch. Der rechner läuft auch ohne diese meikrosofte gängelscheiße, und er läuft trotz des irreführenden namens dieses antifunkzjonsmerkmales kein bisschen unsicherer. Ganz im gegenteil, er fährt dann immer garantiert hoch, wenn ein betrübssystem installiert ist und die installazjon nicht gerade total zerschossen wurde. Und das gilt sogar für betrübssysteme, die nicht mit einem schlüssel von meikrosoft signiert sind. (Und wenn auf eurem windohs tatsächlich eine schadsoftwäjhr gelaufen ist, die genügend rechte hatte, um den bootsektor der festplatte zu überschreiben, dann habt ihr sowieso ein so unheilbar schweres problem, dass ihr euer windohs neu installieren dürft.)

So, und jetzt zur entspannung nach der ganzen scheiße ein kleines, heiteres filmchen aus den besseren tagen des chaos communication congress.

Klaut des tages

Geht in die klaut, haben die werber und ihre hässlichen brüder, die scheißjornalisten, uns immer wieder gesagt. Ihr braucht keinen administrator zu bezahlen, alles ist immer verfügbar, ihr müsst euch nicht um datensicherung kümmern und ihr habt keine datenverluste mehr, haben die werber und ihre hässlichen brüder, die scheißjornalisten, uns immer wieder gesagt.

Störung in Microsofts Cloud führt zu Datenbankverlusten bei Azure

Die Störungen bei Microsoft 365 haben dazu geführt, dass einzelne Azure-Kunden SQL-Datenbanken und Transaktionsdaten verloren haben […] Für einige Kunden, die Microsofts Azure SQL-Datenbanken verwenden, hatte das aber viel gravierendere Folgen: Sie stellten fest, dass ihre Datenbanken plötzlich gelöscht wurden

Bwahahahahaha!

Hej, aber gibt auch fett entschädigung von meikrosoft. Betroffene müssen jetzt ein vierteljahr nicht für die klaut bezahlen. Das spart richtig kohle!!!1!!1! :mrgreen:

Ich wünsche den ganzen schlipstragenden lemmingen auch weiterhin viel spaß dabei, auf scheißreklame, scheißwerber und scheißjornalisten reinzufallen! Tja, wenns gehirnchen nach einer runde bullschittbingo aus der reklame nicht mehr richtig funkzjoniert, muss man halt durch schmerzen lernen. Tut ein bisschen weh, ich weiß. Und pflaster helfen nicht, ich weiß. Aber es geht leider nicht anders. Und mitleid habe ich heute nicht in meinem angebot.

Alle anderen menschen freuen sich darüber, dass es noch softwäjhr und betrübssysteme gibt, die man ohne diesen ganzen klaut-scheiß betreiben kann. Denn die zeit des dummen terminals für die tägliche arbeit am kompjuter sollte im 21. jahrhundert auch mal vorbei sein, statt übers internetz noch einmal von neuem anzufangen.

Äppel des tages

Kennt ihr „FaceTime“, das tschättdingens auf äppel-wischofonen? Das hat einen lustigen kleinen fehler (oder ein lustiges kleines hintertürchen) (der link geht zum zwitscherchen):

Wollt ihr mal einen wirklich üblen fehler sehen? Ihr könnt über „facetime“ auf jedem iOS-gerät anrufen und anschließend von weitem abhören — ohne dass der andere auf euren anruf reagiert hat.

  1. Startet ein videogespräch mit „facetime“.
  2. Während es am klingeln ist, wischt vom unteren displayrand nach oben und wählt „person hinzufügen“ aus.
  3. Fügt eure eigene telefonnummer zum anruf hinzu.

Ihr könnt jetzt hören, was das mikrofon des anderen gerätes aufzeichnet, selbst, wenn der besitzer nicht in der nähe ist.

Ich habe das gerade in unserem büro getestet. Das andere eifohn hat eine minute lang geklingelt, und dann wurde der anruf als „fehlgeschlagen“ angezeigt. Aber ich konnte immer noch alles auf der anderen seite hören.

Ich weiß ja nicht, wie ihr damit umgeht, aber ich bin gerade damit beschäftigt „facetime“ auf meinem mäck und meinem eifohn abzustellen, bis dieser fehler behoben ist.

Das folgende konnte ich nicht selbst reproduzieren, aber @backlon@twitter.com berichtet in „the verge“, dass ein zurückweisen des anrufs mit dem einschaltknopf oder der lautstärkeregelung nicht nur zur tonübertragung führt, sondern auch zur videoübertragung.

Entschuldigt bitte die schnelle und sehr schlampige übelsetzung der fünf fiepser (ich weiß übrigens nicht, welche deutschen begriffe äppel in seinem äppeldeutsch verwendet, es werden wohl andere als meine sein), aber vielleicht findet das ja der eine oder andere interessant. Oder vielleicht langweilt sich jetzt auch der eine oder andere im büro und möchte sich mal ein paar kleine späßchen mit den wischofonen anderer leute erlauben. Empfehlen kann ich das allerdings nicht, denn es handelt sich natürlich um eine straftat, auf die drei jahre knast oder geldstrafe steht — und natürlich ist der versuch strafbar.

Auf jeden fall wünsche ich euch allen auch weiterhin ganz viel spaß dabei, eure privat- und intimsfäre mit allerhand lustigen smartdingern mit mikrofonen und kameras vollzustellen und zu verwanzen. Da kann ja gar nix bei passieren, sonst hätte euch ja vorher jemand gewarnt!!!1!!1! :mrgreen:

Nachtrag, 13:15 uhr: deutschsprachige meldung bei heise.