„Mit linux wär das nicht passiert“ des tages

[…] double-free vulnerability I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes

Sehr praktisch, wenn man mal gerade keine root-rechte hat, aber einen rechner administrieren möchte. Nicht, dass hier noch jemand glaubt, in linux gäbe es keine verheerenden sicherheitsprobleme. Dieses ist zum glück gefixt.

Da erschreckt sich der juhtjuhbb-star

Und ich dachte immer, rechner könnten rechnen

YouTube-Kanäle mit negativer Abonnentenzahl? Darüber wunderte sich auch der Betreiber des YouTube-Kanals BlackScreenTV, als er in den vergangenen Tagen auf die auf der Kanalseite angezeigte Abonnentenzahl schaute

Bwahahahaha!

Na ja, wenigstens war es kein unsigned, so dass Fritz Durchschnitt für seinen channel of boredom and stupidity jetzt nach kündigung dreier abos angezeigt kriegt, über vier milljarden abonennten zu haben. Oder gar über achtzehn trilljonen.

Bwahahahaha!

Was würde ich für das bleiche, von entsetzen gezeichnete gesicht von irgendwelchen juhtjuhbb-stars geben, die zum morgenkaffee auf ihre statistiken gucken und ihre reklamejudasgroschen flügel kriegen sehen! Die machen doch sonst immer selfies. Wo sind diese wundervollen fotos? 😀

Wie man an daten einer „kompjutersicherheitsfirma“ kommt…

[…] konnten sie zumindet einige Stunden lang auf das Verzeichnis www.denuvo.com/fileadmin/ zugreifen, indem sie schlicht die URL in ihrem Browser eintippten. Dort fanden sie neben diversen Zugriffs-Logs auch eine 11 MByte großes Textdatei namens Ajax.log. In dieser waren Kontaktanfragen aus dem Jahr 2014 gespeichert, unter anderem von Mitarbeitern von Capcom, TaleWorlds, Dontnod, Microsoft und Google

Erfreulicherweise hat heise onlein diese allzu alltägliche tätigkeit in seinem artikel weder einen häck noch einen cräck genannt. So etwas ist ja auch nicht erforderlich, wenn die daten einfach zum weltweiten zugriff im web veröffentlicht werden… :mrgreen:

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

„Cloud“ des tages

Gut, bei github und gitlab redet keiner von „cloud“, aber es ist natürlich die gleiche idee: legt alles irgendwo auf den rechnern anderer leute ab. Ist nur scheiße, wenn man kurz die sonne scheint und sich die wölklein auflösen:

Gegenwärtig ist der Softwareprojekt-Hosting-Dienst GitLab.com nicht erreichbar. Der Grund liegt offenbar darin, dass einer der in den Niederlanden beheimateten Administratoren des Systems gestern einen leeren Ordner entfernen wollte, da er in ihm den Grund für Replikationsprobleme der zum Einsatz kommenden PostgreSQL-Datenbank vermutete. Der Admin war jedoch auf einem anderen Computer angemeldet, als er dachte, wodurch er wohl statt des Ordners die gesamte Produktionsdatenbank gelöscht haben muss

Huuups! 😀

Na, die werden aber hoffentlich bäckups haben…

Leider versagten in der Folge anscheinend auch etliche Backup-Mechanismen. Das Backup der PostgreSQL-Datenbank konnte zum Beispiel nicht zum Laufen gebracht werden, da die Binaries zum Starten nicht mehr mit der aktuellen Version kompatibel waren […] Auch das Testen der Datenwiederherstellung scheint in jüngster Zeit stiefmütterlich behandelt worden zu sein

Arrrrgh! 😦

Ich wünsche den armen schweinen von admins eine störungsfrei funkzjonierende kaffeemaschine. Könnt ja ein bisschen singen:

Yesterday
All those backups seems a waste of pay
Now my database is gone away
Oh yesterday came suddenly… :mrgreen:

Jetzt aber genug des spottes! So ein fehler kann wirklich schnell passieren, denn ein xterm sieht aus wie das andere (deshalb hat man meist den hostname im prompt, um überhaupt eine schangse zu haben), und wenn dann auch noch bimmeling ein telefon klingelt und man zwischendurch etwas anderes macht, dann geht die eingabe schon einmal direkt und ohne umweg über die augen aus dem kopf des admins ins falsche xterm. Und dass die zurückspielbarkeit eines bäckups nicht so regelmäßig überprüft wird, wie das erforderlich wäre, ist leider ein standard. Solche sicherheitsmaßnahmen kosten geld, bringen aber keinen umsatz, so dass man den profit erhöht, wenn man daran spart. Ich bin mir sicher, dass die daten in den nächsten stunden mit der brechstange wiederhergestellt werden, aber nervenschonend wird das für die admins nicht. Die waten gerade durch scheiße.

Spezjalexperten in enterprise-kwalität bei der „domainfactory GMBH“ m(

Achtung, hier der goldene facepalm des monats, leider mit dem zwitscherchen als primärkwelle:

Tweet von @tryvann: "Registry Expert / Senior Systemadministration" von @DomainFactory fragt nach Private Key um die Zertifikatsausstellung abzuschließen. WTF?!

Auch die weiteren S/M-kommunikazjonsleistungen der spezjalexperten von der „domainfactory GMBH“ — hier auch als bildschirmfoto, damit niemand zum träckenden zwitscherchen rübermuss, das ohne javascript nicht läuft — zeugen nicht gerade von kompetenz und einsicht.

Wer nicht versteht, wo das problem liegt: ein private key heißt so, weil er nicht in fremden besitz kommen darf. Das ist grundlage moderner kryptoverfahren. Den gibt man nicht heraus. An niemanden. Und es ist auch niemals für irgendeine dienstleistung erforderlich.

Wer zur abgabe eines private key auffordert, ist entweder völlig inkompetent oder ein riesengroßes arschloch mit sinistren absichten. Beide möglichkeiten sind übrigens keine empfehlung, kunde bei der „domainfactory GMBH“ zu werden, ganz im gegenteil. Wäre ich dort kunde, würde ich meinen vertrag kündigen, nachdem mir so eine sache auch nur halbwegs gesichert zu ohren gekommen ist, und zwar fristlos, weil jedes vertrauen in den vertragspartner unrettbar zerstört wurde. Das ist keine kleinigkeit, es handelt sich mindestens um nicht vorhandene kernkompetenzen für deren vertragserfüllung oder sogar um einen versuch, material für kriminelle manipulazjonsmöglichkeiten mit irreführenden aussagen zu beschaffen.

Habe ich schon gesagt, dass ich davon abrate, kunde der „domainfactory GMBH“ zu sein.

Gut, dann habe ich ja das wichtigste gesagt.

Adobe des tages

Am 12. Januar hat Adobe mit einem automatischen Sicherheitsupdate für Adobe Acrobat bei annähernd 30 Millionen Chrome-Nutzern ein Plug-In für Googles Browser installiert, in dem eine heftige Schwachstelle steckt. Lockt ein Angreifer einen Chrome-Nutzer auf eine präparierte Webseite, kann er auf dem Gerät seines Opfers über eine Cross-Site-Scripting-Lücke beliebigen JavaScript-Code ausführen

Na, das sind doch sicherheitsaktualisierungen! Warum soll man dem anwender auch überhaupt eine auswahl lassen, ob er so eine brausereinstöpselscheiße überhaupt haben will? Das ist so nuller jahre, den besitzer des kompjuters zu respektieren, das ist nix mehr für die generazjon wischofon und windohs 10. :mrgreen:

Und wozu sollte man so einen schrott überhaupt brauchen. Das ist eine lösung ohne problem. Es gibt standard-druckertreiber, die als PDF exportieren. Der müll wird nicht benötigt, heimlich und ohne rückfrage installiert und macht eine hintertür auf dem rechner auf. Man darf vermutlich keine softwäjhr mehr aus den USA installieren, die werden ja gerade wieder great again.

Kwalitätsjornalisten bei der arbeit

Heute erklärt uns mal spiegelonlein, wie der seriöse, fäjhknjuhs-freie, leistungsschutzrechtgeschützte kwalitätsjornalismus aussieht, der im zeitalter von fratzenbuch und zwitscherchen um werbeplatzvermarktung buhlt:

Heute Vormittag wurde in Karlsruhe das Urteil des Bundesverfassungsgerichts im NPD-Verbotsverfahren verkündet. Nachrichten dieser Tragweite veröffentlicht SPIEGEL ONLINE als sogenannte Eilmeldungen. -- Wie kam es dazu, dass die Nachricht mit der falschen Schlagzeile (Bundesverfassungsgericht verbietet NPD) veröffentlicht wurde? -- Als der Vorsitzende des Zweiten Senats, Andreas Voßkuhle, zu reden begann, zitierte er zunächst den Antrag auf das NPD-Verbot. Der Antrag wurde von uns versehentlich mit dem - tatsächlich anderslautenden - Urteil verwechselt.

Ich wünsche den medien der contentindustrie auch weiterhin viel erfolg bei der vermarktung von einblendmöglichkeiten für die lüge der reklame!

Nachtrag: zeitonline wollte auch gaaaaanz schnell sein!

TLS des tages

„GoDaddy“ hat 8850 TLS-zertifikate ohne anständige domainüberprüfung rausgegeben. [Link geht zu guhgell groups, skriptalarm!] Die sind als CA in jedem brauser eingetragen, und es ist wohl möglich gewesen, sich da ein TLS-zertifikat für… sagen wir mal… guhgell, die deutsche bank, meikrosoft oder etwas ähnliches ausgeben zu lassen.

Our system automatically checks for the presence of that code via an HTTP and/or HTTPS request to the website. If the code is found, the domain control check is completed successfully. Prior to the bug, the library used to query the website and check for the code was configured to return a failure if the HTTP status code was not 200 (success). A configuration change to the library caused it to return results even when the HTTP status code was not 200. Since many web servers are configured to include the URL of the request in the body of a 404 (not found) response, and the URL also contained the random code, any web server configured this way caused domain control verification to complete successfully

Aber hej, „godaddy“ sagt, dass das nicht ausgebeutet wurde. Also nicht so, dass die es gemerkt hätten…

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an die bekweme sicherheit durch das kleine schlösschen im brauser! TLS ist schon lange tot.

via @benediktg5@twitter.com

Staatstrojaner des tages

Stell dir mal vor, du stehst auf möglichst junge sexualpartner, die bullen haben deinen lieblingssörver aus dem darknet gepwnt und dir eine schadsoftwäjhr auf deinen rechner gespielt, die dich identifizierbar gemacht hat, lassen dich aber nicht weiter strafverfolgen, weil sie sonst ihre kwelltexte offenlegen müssten und ihnen der „schutz“ ihrer eigenen schadsoftwäjr wichtiger ist als der schutz irgendwelcher kinder durch die rechtsdurchsetzung gegen straffällige pädofile.

Wenn ich ein sexuell missbrauchtes kind wäre, bekäme ich da mordlust. Und zwar gegen polizisten.

Übrigens, nur am rande bemerkt:

Auf Playpen wurden dem FBI zufolge Missbrauchsdarstellungen von Kindern getauscht und gehandelt, bevor die Seite von den Behörden abgeschaltet wurde.

Ein warmer dank an golem, dass sie dort (hoffentlich bewusst) nicht von pornografie sprechen wie sonst fast der ganze rest der scheißjornallje! Pr0n wird immer noch von erwaxenen menschen gemacht, sei es wegen der lust oder wegen des geldes oder beides, und nicht von ausgelieferten, wehrlosen, unreifen, leicht missbrauchbaren kindern. Darstellungen sexuell ausgebeuteter kinder haben nix mit pr0n zu tun. Es wird höchste zeit, die vorsätzlich psychomanipulative und irreführende ausdrucksweise einer frau von der Leyen im stoppschildzensurfeldzug vollständig abzulegen.

Und noch eine datenschleuder

Die elbfilharmonie in hamburg hat ein paar daten veröffentlicht:

Aufgrund einer Schwachstelle konnte im Grunde jedermann auf bereits gekaufte Tickets zugreifen und diese einfach herunterladen. Die Elbphilharmonie prüft derzeit, ob und wie oft das passiert ist

Aber wollen wir mal froh sein, dass die elbfilharmonie inzwischen eröffnet wurde… :mrgreen:

Und angesichts der tatsache, dass jede, jeder und jedes bewohner*in hamburgs da einige hundert øre seiner steuergelder drin versenkt hat, während auch in hamburg die schulen vor sich hin verschimmeln und zeugnis davon ablegen, worauf es der p’litkaste in der BRD wirklich ankommt, ists doch nur gerecht, dass es die eintrittskarten kostenlos gibt. 😈

Und nein, die grob fahrlässige datenschleuderei — völlig offen veröffentlichte eintrittskarten, die ohne besonderes häcking und ohne vertiefte kenntnisse von jedermann und jedefrud durch ändern von URI-paramtern runtergeladen werden können — wird keinerlei konsekwenzen haben. Insbesondere wird es nicht zu einer haftung gegenüber menschen kommen, die eine der von der elbfilharmonie durch programmierpfusch selbst ausgegebenen, doppelten eintrittskarten für viel geld (gern auch mehr als tausend øre, ist ja was fürs volk) irgendwo gekauft haben. Sind ja nicht diese gefährlichen fäjhknjuhs, die man so sehr mit allen mitteln bekämpfen muss, und sei es, dass man scheiß-aufs-grundgeschwätz eine zensur durchsetzt; es ist ja nur die ganz normale scheiß-auf-die-kunden-verantwortungslosigkeit beim betreiben von geschäften im internet. Wer davon betroffen ist, bleibt in der BRD immer auf seinem schaden sitzen. Denn sonst „wird“ die BRD noch zum digitalen entwicklungsland, und das wollen wir doch nicht:mrgreen:

Ach ja, eines noch: programmiert wurde das übrigens von denen hier:

Als inhabergeführte Softwaremanufaktur entwickelt spiritec ein breit gefächertes Angebot an hochwertigen Softwarelösungen und maßgeschneiderten Produkten

Weia, „manufaktur“. Ich will mal hoffen, dass die in wirklichkeit modernere produkzjonsverfahren als spätmittelalterliche handarbeitsteilung haben, so irgendwas mit tastaturen, kompjutern und datenbanken. Hirnlösendes reklamegeschwätz von euren feinden, den reklameheinis! (Immerhin haben sie nicht „manufactur“ geschrieben, um es noch „hipper“ aussehen zu lassen…)

Aber was ich eigentlich sagen will: Die scheinen ja geradezu ein abo auf projekte mit dummer staatskohle abgeschlossen zu haben! Vermutlich haben sie gute freunde in p’litik und verwaltung, denen sie öfter mal ein küsschen geben. Oder auch zwei. :mrgreen:

(Davon, dass diese webhonks auf ihrer tollen unternehmenswebseit keine altmodischen links mehr setzen und dass man deshalb ohne javascript nix mehr wirksam anklicken kann, will ich gar nicht erst anfangen. Die machen bestimmt auch barrjerefrei und sicherheit und blahblahblah… lieber insolvenzverwalter, walte deines amtes!)

Telekomiker des tages

Sagt der scheff: „Weia, ist uns da eine große scheiße passiert. Wir haben 200.000 SIM-karten an einen toten obdachlosen verkauft, und jetzt hat sich rausgestellt, dass es terroristen waren“. Sagt der PR-lügner: „Moment, ich habe eine idee. Ich rotze einfach eine PResseerklärung raus, die so tut, als seien wir für die terrorbekämpfung zuständig und verliere kein wort darüber, dass das niemanden bei uns jemals aufgefallen ist“.

Und in der tat, die jornallje (einschließlich heise onlein) bringt die PResseerklärung und stellt keine doofen fragen an einen wichtigen anzeigenkunden… 😦

Telekomiker des tages

Na, ruckelt juhtjuhbb bei euch ganz fürchterbar? Das liegt nicht an juhtjuhbb und nicht an guhgell, sondern an den deutschen telekomikern, die ein weiteres mal weniger internetz für mehr preis liefern:

Nutzerberichten zufolge kommt es seit heute Nachmittag zu Störungen im Telekom-Netz. Bei IPv4-Verkehr zu Google bleiben aktuell 10 bis 40 Prozent der Pakete auf der Strecke. Betroffen sind offenbar auch andere Dienste, darunter YouTube und die DNS-Server 8.8.8.8 und 8.8.4.4, die der Internetriese bereitstellt

Wenn ich mich richtig erinnere, hatten die telekomiker das gleiche oder ein sehr ähnliches problem in der ersten hälfte des letzten jahres und haben es irgendwann nach mehreren monaten „gelöst“. Auch damals gab es paketverlust zwischen vierzig und fünfzig prozent, genau, wie ich es eben noch einmal beim ping gesehen habe. Wer ist eigentlich kunde bei diesem überteuerten scheißladen?!