Security des tages

Glaubt hier jemand, dass sein betrübssystem sicherer als die anderen sei?

Entwickler fast aller PC-Betriebssysteme, inklusive Windows, macOS, Linux und FreeBSD, haben auf Grund eines Missverständnisses einen Fehler in ihren Code eingebaut, über den ein lokaler Angreifer Kernel-Speicher auslesen und unter Umständen manipulieren kann. Das könnte zum Ausführen bösartigen Codes mit Systemrechten führen. Die Entwickler hatten, unabhängig voneinander, Anweisungen in der Chipset-Dokumentation von Intel missverstanden

Sicherlich eine völlig unmissverständlich formulierte dokumentazjon, die intel da verfasst hat…

Advertisements

Ihmezentrum-PRopaganda des tages

In ihrem aktuellen bemühen um tolle propaganda, mit der sie den leuten das scheißihmezentrum als ganz tolles, urbanes kulturgutgebäude verkaufen wollen, schrecken die reklamelügner vor keinem spott auf das gehirn mehr zurück. Da wird dann auch mal eine meldung mit dem früheren oberbürgermeister Herbert Schmalstieg (seit rund zwölf jahren nicht mehr im amt) zu einer S/M-mäßig zwitschernd als tagesaktuell verkauften jubelmeldung gemacht — damit auch noch der letzte merken kann, wie sehr seine intelligenz von diesen stinkenden, von der geldanbetenden und menschenverachtenden heuschreckenklitsche „intown“ bezahlten jubelpersern mit hirnfickhintergrund verachtet wird:

Tweet von @IhmeZentrum: Oberbürgermeister von @hannover und Investor präsentieren Umbaupläne für das #Ihmezentrum -- das Quartier soll sogar einen neuen Namen bekommen -- Erwiderung von @Jacqueline_Ebel: Wann war das denn? Der aktuelle OB heißt Schostock

Angesichts der großen löschlust dieser wohl recht gut fürs lügen bezahlten professjonellen lügner kann ich nur empfehlen, immer schnell ein bildschirmfoto zu machen, bevor die ihre spuren nach besonders peinlichen patzern wieder verwischen.

Immerhin, eines kann man von diesem kleinen fehlerchen im gutkonzertierten herumgelüge einer kwasiscientologischen hirnfickerbande lernen: Wie lange die menschen schon mit den gleichen beschissenen lügen an der nase herumgeführt werden. Schön doof, wer sich das gefallen lässt oder gar gefallen daran findet. Das wird auch durch tolle bundesbau-reklameplakate an der scheißruine nicht besser, ganz im gegenteil

Abriss: jetzt! Alternativen: keine!

S/M des tages

Das zwitscherchen hat… ähm… „aus versehen“ passwörter im klartext gespeichert. Die ausrede mit den logdateien wirkt aber auf mich plausibel. Allerdings würde man genau so einen weg wählen, um die datenbank mit den nutzerdaten als hinreichend gesichert ausgeben zu können, und doch zugangsdaten raustropfen zu lassen, zum beispiel für eine der diversen mörderischen und alles überwachenden und manipulierenden US-geheimmilitärpolizeien. So lange ein unternehmen irgendetwas in den USA hat, ist es nicht wirklich vertrauenswürdig. (Das gilt insbesondere auch für „cloud“-klitschen.) Die dürfen nicht einmal mitteilen, dass sie zur kooperazjon gezwungen werden. Einen objektiven grund, warum man HTTP-GET verwenden sollte, so dass das passwort als bestandteil der URI in der logdatei des websörvers landet, wenn man genau das (bei verwendung üblicher biblioteken ohne zusätzlichen aufwand) mit HTTP-POST vermeiden kann, sehe ich jedenfalls nicht. Oder wurde etwa eigens für die speicherung der passwörter noch eine weitere logdatei angelegt? Dann ist es so gut wie sicher, dass die ausleitung der zugangsdaten beabsichtigt war.

Intel des tages

Die neuen Lücken, die noch keine dedizierten Namen haben und deshalb derzeit unter dem Sammelbegriff Spectre-NG (für Next Generation) laufen, sind derzeit noch geheim. Die von mehreren Forscherteams entdeckten Lücken sind aber von Intel bestätigt worden, wobei der Hersteller die Hälfte als „hochriskant“ und den Rest mit der Gefährlichkeitsstufe „mittel“ einschätzt. Die c’t, die nach eigenen Angaben bereits über verifizierte, aber noch nicht veröffentlichte technische Einzelheiten verfügt, schätzt eine der Lücken als gefährlicher ein als die bereits katastrophalen Vorgängerlücken Meltdown & Spectre

Hej, aber eure ganzen daten, die von irgendwelchen klitschen in der „cloud“ abgelegt wurden, sind sicher. Die renten übrigens auch.

Guhgell des tages — eine suchmaschine zum wegschmeißen…

Guhgell hat tolle algoritmen, voll intelligent und so, und jetzt sogar immer mehr „künstlich intelligent“. Und diese algoritmen entscheiden darüber, was bei einer guhgell-suche sichtbar wird und was nicht. Zum beispiel: wenn ich einen text zitiere und die kwelle verlinke, dann führt das dazu, dass guhgell mein zitat an erster stelle in einem suchergebnis auflistet, aber die kwelle ganz tief unten vergräbt, irgendwo, wo man auch hervorragend nach einem mord die leiche verstecken könnte, damit sie keiner mehr findet.

Bildschirmfoto des absurden guhgell-suchergebnisses

Fürwahr, ein ausgesprochen gekünstelt „intelligentes“ verhalten von guhgells algoritmen. Und vor allem genau das, was man erwartet, denn wer findet nicht lieber zitate als die kwelle, wenn er etwas sucht?! :mrgreen:

Also leute, nehmt andere suchmaschinen, verdammt noch mal! Welche ihr nehmt, ist erstmal egal. Sogar dieses bing von meikrosoft ist etwas hilfreicher, wenn man nicht irgendwelche zitate, sondern die kwelle haben will:

Bildschirmfoto des suchergebnisses bei bing, ich stehe dort zwar auch aus irgendwelchen gründen an erster stelle, aber die kwelle ist prominent gelistet

Und die von mir regelmäßig verwendete suchmaschine duckduckgo verhält sich genau so, wie man es in einem solchen fall erwartet, die kwelle steht klar an erster stelle, das zitat ist untergeordnet:

Bildschirmfoto des suchergebnisses bei duckduckgo, die kwelle steht an erster stelle, mein zitat steht direkt darunter

So muss das eigentlich sein.

Wenn selbst so eine suchmaschine aus der zweiten reihe wie duckduckgo kwalitativ bessere und nützlichere suchergebnisse als guhgell anbietet, dann ist guhgell einfach nur noch unbenutzbar. Allein schon wegen der ganzen träcking- und datensammelscheiße, die sonst noch an guhgell dranhängt.

Also leute, nehmt endlich andere suchmaschinen als dieses guhgell!

Fernkontoführung des tages

Machen sie ihre bankgeschäfte bekwem und einfach mit unserer internetz-fernkontoführung (neudeutsch: onleinbänking) und ermöglichen sie es uns damit, achtzig prozent unserer mitarbeiter zu entlassen, ihnen aber weiterhin das gleiche geld abzuknöpfen wie vorher. Was kann dabei schon schiefgehen?

Eine katastrophal schiefgelaufene Migration von Kontodaten in ein neues Datenbanksystem hat Millionen britische Bankkunden aus ihrem Onlinebanking ausgesperrt. Seit Tagen kommen sie nicht an ihr Geld […] Wer sich einloggen kann, hat demnach aber auch Probleme und bekommt Buchungen eventuell nicht zu sehen oder gar einen falschen Kontostand angezeigt. Ein Kunde konnte andere Konten einsehen und hätte sogar überweisen können, erzählte er der BBC […] eine Behebung der Probleme ist nicht in Sicht

Weia!

„Paid content“ des tages

Auch das ehemalige nachrichtenmagazin „der spiegel“ schafft es nicht, seinen webseitzugriff für geld zu verkaufen und will jetzt versuchen, seinen webseitzugriff anders zu verkaufen. Ab jetzt kostet der zugriff nur noch rd. zwanzig øre im monat, und wer jünger als dreißig jahre ist, kriegt einen fetten rabatt, weil er noch nicht so viel verdient, damit er sich das spiegellesen im web auch leisten kann. Einen solchen damit-ihrs-euch-leisten-könnt-rabatt gibt es natürlich nicht für hartz-IV-bezieher, diese sind ja auch die feinde eines scheißjornalismus, der hartz IV aktiv propagandistisch unterstützt und im vorfeld herbeigeschrieben hat. Viel glück, ihr da beim spiegel, ihr werdet es brauchen, aber ihr werdets vermutlich nicht haben, denn trotz aller eurer bemühungen haben immer noch zu viele menschen ein funkzjonierendes gehirn… :mrgreen:

Die glauben echt, heute, im jahr 2018, volltrunken im rausche ihrer eigenen eingebildeten wichtigkeit immer noch, jemand zahle für zugriff auf eine einzelne webseit ohne ganz besondere alleinstellungsmerkmale derartige mondpreise! (Man vergleiche die monatlichen zwanzig øre für den webzugriff auf den scheißspiegel mal mit den monatlichen vierzehn euro für ein etwas dickeres netflix-abo!) Immer wieder göttlich, wie die scheißjornalisten versuchen, vom onlein-jornalismus zu leben. 😀

Das fahrradschloss für die idiocracy

Es kostet einen mondpreis von rund hundert øre und man kriegt es nicht so einfach auf, wenn man nicht den schlüssel dazu hat, außer vielleicht, man öffnet es mutwillig, gewaltsam und unbefugt, so, wie das jeder fahrraddieb tut. Müsst ihr unbedingt kaufen, ihr konsumtrottel, die ihr auf den nach scheiße stinkenden schleichwerbe-fernsehjornalismus von PRO7-galileo reinfallt! Endlich brauchen die diebe keinen unhandlichen seitenschneider mehr mit sich herumzutragen! :mrgreen:

Mit verdummenden schleichwerbe-scheißjornalismus in die idiocracy! Es geht voran!

Datensammlung des tages

Es ist doch immer wieder schön, wenn man irgendwo angemeldet ist und dort auf „Konto löschen“ klicken kann, um das gute gefühl zu bekommen, die daten seien jetzt gelöscht:

Eine ganze Reihe ehemaliger Nutzer des US-Datingportals Match.com sind in den vergangenen Tagen darauf aufmerksam geworden, dass ihre eigentlich seit Jahren gelöschten Profile vollständig reaktiviert worden sind

Ich wünsche auch weiterhin viel spaß beim hilflosen klicken auf das löschen-knöpfchen bei irgendwelchen kommerzjellen dateneinsammlern. Wisst ja, rohstoff des 21. jahrhunderts. Und bei alledem immer ganz feste an den versprochenen datenschutz glauben!

Neuland des tages

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces – und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können

Nehmt java, haben sie gesagt. Das ist sicher und solide, da schreibt sich guter kohd wie von alleine, haben sie gesagt. (Vieles haben sie schon über java gesagt. Das meiste stimmte nicht.)

Und, wie kriegt man das mit der veralteten komponente raus?

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt

Also richtig tiefgreifende häckerkenntnisse auf dem niewoh eines spielkindes! Einfach strg-U drücken, wenn eine webseite angezeigt wird, und mal ein bisschen HTML lesen. Und dann einfach mal gucken, ob man mit einem bekannten und öffentlich verfügbaren perlscript noch in einer seit beinahe zwei jahren gefixten sicherheitslücke rumcybern kann. Weia! 😦

Das frage ich mich unwillkürlich, wie gut wohl der rest von dieser „besonderen elektronischen anvergewaltsvercyberung“ ist. Und ich tippe drauf, dass da noch hunderte von vergleichbaren scheunentoren zum einlass irgendwelcher nicht den vorgesehenen eingang benutzender besucher drinnen sind.

Security des tages

„T-mobile“ ist im jahre 2018 mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren, nämlich der speicherung von passwörtern als (im idealfall gesalzene) häsches, überfordert. Und irgendwelche brechreizerregenden PR-komiker in der S/M-front begründen auch, warum:

What if this doesn’t happen because our security is amazingly good?

Da kann man nur entgegen: klitschen, die sich dermaßen selbst überschätzen, würden es vermutlich nicht einmal bemerken, wenn sie von kindern oder kriminellen gekräckt werden und alle daten rausgetragen werden. Das bemerken dann „nur“ ein paar davon betroffene kunden… 😦

Und in der tat:

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben […] Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen […] Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen […] Im Repository unter blogs.t-mobile.at fand sich eine WordPress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden

Es wird wohl gar nicht so schwierig werden, diesen vor dreister dummheit strotzenden vollidjoten-laden mit seiner „erstaunlich guten security“ zu kräcken. :mrgreen:

Auch weiterhin viel spaß dabei, solchen auf elementarsten datenschutz scheißenden und ihre kunden mit verlogenen PR-geschwafel zur datensicherheit verachtenden klitschen irgendwelche daten anzuvertrauen! Verträge kann man übrigens kündigen, und auf die löschung der daten sollte man bestehen (man hat ein recht darauf), denn von alleine werden die ihren „rohstoff des 21. jahrhunderts“ gewiss nicht löschen.

Meikrosoft des tages

Na, nutzt hier jemand windohs sieben?

Klar, ihr habt das alle schon bei Fefe gelesen, aber der vollständigkeit halber und weil heise onlein so ein passendes symbolfoto ausgewählt hat, hier nochmal:

Sicherheitspatches gegen Meltdown haben eine neue, riesige Sicherheitslücke in Windows 7 aufgerissen […] Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf […] Aufgrund der Verwundbarkeit soll jeder Prozess — auch ohne Admin-Rechte — den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können […] sogar Schreibzugriff auf den Kernel

Die haben bei meikrosoft ja nur ein halbes jahr zeit für ihren pätsch gehabt… unter so einem zeitdruck kann ja mal ein kleines fehlerchen passieren… m(

Übrigens gibt es immer wieder probleme mit dem automatischen aufspielen der sicherheitsaktualisierung vom märz 2018, die dieses problem fixt. Viele dürften sie zurzeit noch gar nicht haben.

Denen, die tiefgläubig und fest auf die kompetenz von meikrosoft vertrauen, wünsche ich auch weiterhin viel spaß mit ihren kompjutern.

Kwalitätsjornalistische kwalitätsreklame des tages

Was ein „in-image-ad“ sein soll? Man stelle sich mal vor, direkt im foto des eingangstores zum menschenvernichtungslager auschwitz mit dem markanten schriftzug „arbeit macht frei“ würde eine reklame für die sonderangebote von penny eingeblendet. Die „säxische zeitung“ liefert! [Archivversjon im lande des vollumfänglichen rechtsschutzes für beleidigte leberwürste.]

Unsere treffsichere Lösung. Ihre Werbung wird native, passgenau und sichtbar kontextsensitiv ins Bild eingebunden

Schon klar, „kontextsensitiv“. Ein tauchsieder im anus ist auch „kontextsensitiv“ und sorgt außerdem für wärme noch in der kühlsten seele. Kannste dir mal wieder gar nicht selbst ausdenken, so einen bullschitt — und das scheißpresseverleger so einen bullschitt auch noch fressen. 😦

VR-brille des tages

Na, „early adopter“ (blenddeutsch für idjoten, die viel zu viel geld für strokelkrams ausgeben, der noch ziemlich beta ist)? Na, „oculus rift“ gekauft? Und jetzt geht das teure scheißdingens nicht? Hej, keine sorge, die hardwäjhr ist noch ganz in ordnung, da gibt es nur ein kleines problem mit so einer kohdsignierungs-gängelung, und das zertifikat ist abgelaufen. Vermutlich völlig überraschend abgelaufen. Etwa so überraschend, wie es manchmal ganz überraschend weihnachten wird. :mrgreen:

Freut ihr euch schon drauf, wenn sie euch den neueren überteuerten techniktinnef verkaufen wollen und einfach die zertifikate für den alten überteuerten techniktinnef ablaufen lassen, damit ihr ihn nicht mehr nutzen könnt? Lasst euch schön weiter enteignen, ausnehmen und abzocken, ihr idjoten, ihr habts ja, das geld! Seit ihr ja schon von euren scheißwischofonen gewohnt, nur dass die noch funkzjonieren, wenn man eigentlich ein verantwortungsloser vollidiot ist, wenn man die weiterbenutzt. Und, freut ihr euch auch schon so dolle auf die selbstfahrenden autos? Hoffentlich läuft das zertifikat für den bremsprozess nicht ab! :mrgreen:

Nutzt hier jemand eiFohns oder äpple-PCs?

జ్ఞా — nein, ich weiß nicht, wie man das ausspricht. Aber äppel weiß dafür nicht, wie man das korrekt rendert und die aktuellen betrübssysteme von äppel kacken ab. Unicode ist und bleibt ein bisschen schwierig. Hauptsache, es gibt neue emojis. 💩

Und hej, wenn schon so ein einzelnes zeichen das fon zum abkacken bringt, dann würde es mich gar nicht wundern, wenn man darüber auch kohd ausführen kann. Das ist ja nicht das erste mal, dass äppel beim rendern eines komplex aufgebauten unicode-zeichens abkackt, und bislang scheint das problem eher so behoben worden zu sein, als dass die paar zeichen, mit denen man fehler ausbeuten kann, rausgefiltert werden. Denn sonst würde der scheiß nicht immer wieder passieren. Ich glaube, wenn Steve Jobs noch leben würde, bekäme er bei dieser vorgehensweise einen seiner kolerischen wutanfälle, bei denen man ganz weit weg sein möchte…

Äppel veröffentlicht „iboot“-kwelltexte

Oh, was liegt denn da auf github herum:

/*
 * Copyright (C) 2007-2011 Apple Inc. All rights reserved.
 *
 * This document is the property of Apple Inc.
 * It is considered confidential and proprietary.
 *
 * This document may not be reproduced or transmitted in any form,
 * in whole or in part, without the express written permission of
 * Apple Inc.
 */

Scheint nicht so recht für unsere augen bestimmt zu sein. 😉

Gezippt ist es ein daunlohd von 5,2 MB. Der kram ist immer noch auf github zu finden. Ich gebe hier natürlich nicht die adresse für einen daunlohd an, denn das hat auch nach US-recht konsekwenzen, bin mir aber völlig sicher, dass dieses kleine leck für äppel nie wieder aus der welt zu schaffen ist.